新規ECサイト企業には3Dセキュア導入が必須に
〜JCAとJCCAが連名で新ガイドラインを公表〜
ECサイトへの新規参入は、3Dセキュアの導入が必須に
インターネットのショップサイト(ECサイト)市場の拡大とともに、ショップを利用した顧客のクレジットカード情報が漏えいして、カードが悪用される被害が後を絶ちません。
そこで、(社)日本クレジット協会(以下、JCA)と日本クレジットカード協会(以下、JCCA)は2010年12月、クレジットカード決済に係る本人認証導入による不正使用防止のためのガイドラインを定め、まず新規のインターネット加盟店に対して、パスワードも入力させて本人確認を義務づけることを発表しました。
これにより、2011年3月以降、新たにインターネット取引におけるクレジットカード決済加盟店として登録する事業者は、「クレジットカード番号」や「有効期限」の入力に加え、「セキュリティコードと3Dセキュア等」による本人認証を行うことが、必須になりました。
※JCAサイト参照 http://www.j-credit.or.jp/download/101215_news.pdf
そこで、(社)日本クレジット協会(以下、JCA)と日本クレジットカード協会(以下、JCCA)は2010年12月、クレジットカード決済に係る本人認証導入による不正使用防止のためのガイドラインを定め、まず新規のインターネット加盟店に対して、パスワードも入力させて本人確認を義務づけることを発表しました。
これにより、2011年3月以降、新たにインターネット取引におけるクレジットカード決済加盟店として登録する事業者は、「クレジットカード番号」や「有効期限」の入力に加え、「セキュリティコードと3Dセキュア等」による本人認証を行うことが、必須になりました。
※JCAサイト参照 http://www.j-credit.or.jp/download/101215_news.pdf
カード番号の漏えいはすぐに世界中で悪用される
銀行のキャッシュカードでは、もしカードが盗まれても、暗証番号を知られなければ、現金を引き出されることはない仕組みになっています。
それがECサイトの場合は、16ケタのカード番号と有効期限を入力すれば、クレジットカードでの買い物が簡単にできてしまいます。
その手軽さのため、インターネットショップ市場は短期間に成長してきましたが、これではカードそのものが盗まれなくても、カード番号などを知られただけで、すぐになりすましでの悪用が可能です。
しかもインターネットの世界では、カード情報が漏えいする先は、日本国内に限りません。
クレジットカードは海外の旅行先でも利用できるものが多いため、漏えいした次の瞬間に、世界のどこで悪用されるか分からないのです。
こうした危険性はだいぶ前から指摘され、VISAやMasterCard、JCBなどの国際カードブランドでは、3Dセキュアなど、パスワードの入力も要求する仕組みを作って、カード会社や加盟店に利用を進めていました。
しかし事業者側のシステムの改修に、大きな投資が必要であることなどがネックになって、強制力を伴った導入までは、思うようには進んでいなかったのが実情でした。
それがECサイトの場合は、16ケタのカード番号と有効期限を入力すれば、クレジットカードでの買い物が簡単にできてしまいます。
その手軽さのため、インターネットショップ市場は短期間に成長してきましたが、これではカードそのものが盗まれなくても、カード番号などを知られただけで、すぐになりすましでの悪用が可能です。
しかもインターネットの世界では、カード情報が漏えいする先は、日本国内に限りません。
クレジットカードは海外の旅行先でも利用できるものが多いため、漏えいした次の瞬間に、世界のどこで悪用されるか分からないのです。
こうした危険性はだいぶ前から指摘され、VISAやMasterCard、JCBなどの国際カードブランドでは、3Dセキュアなど、パスワードの入力も要求する仕組みを作って、カード会社や加盟店に利用を進めていました。
しかし事業者側のシステムの改修に、大きな投資が必要であることなどがネックになって、強制力を伴った導入までは、思うようには進んでいなかったのが実情でした。
罰則規定はないが事実上の強制力
それがこのたび、国内のカード会社や大手加盟店のほとんどが、会員として参加しているJCAとJCCAが、共同でこのガイドラインを打ち出したことで、ECサイトのショッピングにはパスワードも必要になる時代に、大きく進展する見通しが出てきました。
このガイドラインの内容を見ると、「(要約)数年前から3Dセキュア・セキュリティコード等の推進を実施してきたが、いまだにカード番号と有効期限のみで決済している加盟店が大半で、不正使用被害が増加している。また不正使用で詐取された資金は、反社会的勢力の資金源になっているおそれもあり、単にクレジットカード会社のリスクとしてだけではなく、社会的なリスクとして防止していかなければならない問題である」と、強い文調で今回のガイドライン策定に至った経緯を述べています。
JCAは改正割賦販売法に定めた、「認定割賦販売協会」として経産省から認定を受け、クレジット事業者を代表する団体として、法令に基づいてクレジット業界の自主規制を行っていく役割を担っています。
したがって、このガイドラインに違反した場合の罰則事項までは明記されていないものの、新規にECショップに参入する事業者には、間違いなく強制力を伴うと予想されます。
なぜなら、EC事業者自身がJCAの会員でなくても、クレジットカード決済によって代金収受を行おうとする場合は、必ずカード加盟店として登録する必要があります。
そしてカード発行会社(イシュア)や加盟店募集会社(アクワイアラ)は、ほぼすべてがJCAやJCCAの協会員になっていますから、3Dセキュアなどのパスワード認証システムが導入されていなければ、カード加盟店として新規契約をすることは、困難と考えられるからです。
このガイドラインの内容を見ると、「(要約)数年前から3Dセキュア・セキュリティコード等の推進を実施してきたが、いまだにカード番号と有効期限のみで決済している加盟店が大半で、不正使用被害が増加している。また不正使用で詐取された資金は、反社会的勢力の資金源になっているおそれもあり、単にクレジットカード会社のリスクとしてだけではなく、社会的なリスクとして防止していかなければならない問題である」と、強い文調で今回のガイドライン策定に至った経緯を述べています。
JCAは改正割賦販売法に定めた、「認定割賦販売協会」として経産省から認定を受け、クレジット事業者を代表する団体として、法令に基づいてクレジット業界の自主規制を行っていく役割を担っています。
したがって、このガイドラインに違反した場合の罰則事項までは明記されていないものの、新規にECショップに参入する事業者には、間違いなく強制力を伴うと予想されます。
なぜなら、EC事業者自身がJCAの会員でなくても、クレジットカード決済によって代金収受を行おうとする場合は、必ずカード加盟店として登録する必要があります。
そしてカード発行会社(イシュア)や加盟店募集会社(アクワイアラ)は、ほぼすべてがJCAやJCCAの協会員になっていますから、3Dセキュアなどのパスワード認証システムが導入されていなければ、カード加盟店として新規契約をすることは、困難と考えられるからです。
既存サイトへの波及も時間の問題
今回のガイドラインは、対象を新規に加盟店登録して、ECショップを開設する事業者に限定したものですが、「既存のインターネット加盟店に対するガイドラインは、今後、当該関係者と調整を行いつつ、段階的に対応していく」、と発表されています。
すでにECショップを開設している事業者に対して、一気に3Dセキュアの導入を義務づけることは、システム改修の上で混乱が予想されるので、段階的に実施していくということなのでしょう。
また、既存の事業者にも期限を含めて導入を義務づけることには、まだ抵抗が大きいので、まずは新規事業者に限定したガイドラインになったことも、推察されます。
とはいえ、新規事業者に2011年3月からの義務づけをスタートさせる以上は、既存の事業者に対する導入期限設定も、時間の問題といってよいでしょう。
既存の事業者への義務づけが進まないと、「あからさまな既得権益の擁護か」と社会から指摘されることになり、国から認定されている公益協会としては、あり得ない選択だからです。
すでにECショップを開設している事業者に対して、一気に3Dセキュアの導入を義務づけることは、システム改修の上で混乱が予想されるので、段階的に実施していくということなのでしょう。
また、既存の事業者にも期限を含めて導入を義務づけることには、まだ抵抗が大きいので、まずは新規事業者に限定したガイドラインになったことも、推察されます。
とはいえ、新規事業者に2011年3月からの義務づけをスタートさせる以上は、既存の事業者に対する導入期限設定も、時間の問題といってよいでしょう。
既存の事業者への義務づけが進まないと、「あからさまな既得権益の擁護か」と社会から指摘されることになり、国から認定されている公益協会としては、あり得ない選択だからです。
PCI DSSとの連携は一歩ずつ進展
改正割賦販売法による、クレジットカード情報の保護ルールと、VISAなど国際カードブランドが進める国際基準・PCI DSS(Payment Card Industry Data Security Standard)との兼ね合いをどうするのかは、ここ数年来の課題になっています。
PCI DSSは要求レベルが高く、適用範囲も広いため、国の政策としてカード事業者にPCI DSSの順守を義務づけると、かなりの混乱を伴うと予想されることから、経産省としてもPCI DSSはカードブランドが制定した国際基準であることは承知しながらも、改正割賦販売法の実施基準ではPCI DSSにふれず、“認定割賦販売協会”として位置づけたJCAによる、業界自主規制に委ねる手法をとってきました。
今回公表されたECサイト新規事業者へのガイドラインにより、JCAとしてはPCI DSSと整合性をとりながら、優先すべき事項について、強制力を伴うガイドラインを策定して、一歩ずつ進めていくという路線が、明らかになってきたといえます。
JCAやJCCAの会員には大手加盟店企業も多いだけに、セキュリティと営業のバランスも考えざるを得ないでしょう。しかしその中で、具体的な方向性に踏み込んだ今回のガイドラインは、クレジットカード情報の安全確立の上で、大きな要素になるといえます。
PCI DSSは要求レベルが高く、適用範囲も広いため、国の政策としてカード事業者にPCI DSSの順守を義務づけると、かなりの混乱を伴うと予想されることから、経産省としてもPCI DSSはカードブランドが制定した国際基準であることは承知しながらも、改正割賦販売法の実施基準ではPCI DSSにふれず、“認定割賦販売協会”として位置づけたJCAによる、業界自主規制に委ねる手法をとってきました。
今回公表されたECサイト新規事業者へのガイドラインにより、JCAとしてはPCI DSSと整合性をとりながら、優先すべき事項について、強制力を伴うガイドラインを策定して、一歩ずつ進めていくという路線が、明らかになってきたといえます。
JCAやJCCAの会員には大手加盟店企業も多いだけに、セキュリティと営業のバランスも考えざるを得ないでしょう。しかしその中で、具体的な方向性に踏み込んだ今回のガイドラインは、クレジットカード情報の安全確立の上で、大きな要素になるといえます。
解説/JCDSC事務局 森大吾(日本オフィス・システム梶j
