クレジットカード決済システムのセキュリティ対策強化検討報告書(2023)
本調査報告書は、クレジットカード決済に関する環境や取引の仕組み、セキュリティ上の課題などをまとめたものである。現在の状況を理解するのに、非常に参考になる。以下、一部、抜粋する。
- クレジットカード決済は、キャッシュレス決済の増加に伴って、2021年には9割を占めるほど利用されるようになっている。ECサイト上でのクレジットカード決済も増加傾向にあり、2021年にはEC市場規模が約21兆円に達している。
- しかし、サイバー攻撃の手法が巧妙化し、消費者のオンライン・ツールの利用機会が増加することにより、不正利用が発生するリスクがある。そのため、継続的な対策が必要である。
- クレジットカード決済の取引の仕組みでは、対面取引と非対面取引で差異がある。対面取引では、アクワイアラーを通じて決済端末等を設置し、クレジットカード決済が可能になっている。一方、非対面取引では、EC加盟店が自社でECサイトや決済環境を構築する場合と、ECモールを利用する場合に分けられる。
- クレジットカード決済のモジュール自体には特段のセキュリティ基準がないため、EC加盟店が自ら対策を講じる必要がある。また、アクワイアラーにとっても、EC加盟店の環境を直接把握することは困難であり、事業者としてのセキュリティ体制や方針を確認する必要がある。
- 非対面取引におけるクレジットカード決済の仕組みにおいては、アクワイアラーとしてのクレジットカード会社がすべてのEC加盟店と直接接続することは難しいため、PSPがアクワイアラーに接続することで仲介する形式が一般的である。
- 今後もクレジットカードの利用が増加することが予想されているため、持続的にセキュリティ対策を講じ、決済インフラの持続可能性を維持することが重要である。
第一章を抜粋
1.クレジットカード決済システムをとりまく環境 (イ)クレジットカード決済システムをとりまく環境
我が国では、2025 年6月までに、キャッシュレス決済比率を倍増し、4割程度とすることを目 指す(成長戦略フォローアップ(令和元年6月 21 日閣議決定))こととしているが、2021 年には 32.5%に達しており、今後も引き続き増加することが見込まれている。このキャッシュレス決済 のうち、2021 年においてはクレジットカードの取引が約9割を占めている(約 85%)。また、社 会のデジタル化・新型コロナウィルス禍を受けた巣ごもり需要の拡大等により、電子商取引が伸 張し、2021 年の EC の市場規模は約 21 兆円にまで拡大している。これらに伴い、EC サイトでの非 対面取引における主要な決済手段としてクレジットカードが利用される機会も増加している。
一方、サイバー攻撃の手法の変化、消費者のオンラインツールの利用機会の増加等により、クレジットカード番号等の不正利用を招く原因となる手法についても、巧妙化しているものの、その手法自体は一定程度定型化しており、それぞれのプレイヤーが講じるべき対策が見えてきた状況になりつつあると考えられる。決済インフラとしての持続可能性を維持するためにも対策の実行や強化が喫緊の課題である。
(ロ)非対面取引におけるクレジットカード決済の取引の仕組み
クレジットカード決済は、クレジットカード会社による利用者に対するクレジットカード番号 等の付与、加盟店に対するクレジットカード取引の許諾により可能となっており、これがクレジ ットカード取引の基本的構造である。しかし、EC サイト自体の増加や EC サイトでのクレジット カード決済の利用の拡大等に伴い、対面取引と非対面取引1でのクレジットカード決済の取引の仕 組みの差異が顕著となってきたように見受けられる。
対面取引では、アクワイアラーを通じて供給される決済端末等を設置し、アクワイアラーに接 続する。通常、当該端末は、既に PCI SSC が定める基準に準拠した仕様で大手メーカーにより製 造・販売されており、加盟店では当該端末を設置・接続さえすれば、クレジットカード番号等を 加盟店から分離して処理し、クレジットカード決済が可能となるほか、複数のアクワイアラー等 にクレジットカード番号等を仕分けることもできるため、保守も含め特段の対応は不要となる。 クレジットカード決済の仕組みは、従前、こうした対面取引を前提に構築され、アクワイアラー は加盟店での当該端末の設置の有無を確認し、クレジットカード決済機能を把握することで、セ キュリティ面を含めた加盟店管理を直接行いやすい構造となっていた。
一方、非対面取引では、EC 加盟店は、自社で EC サイトや決済環境の構築を必要とせず独自の カスタマイズができない設定となっているような EC モールを利用した構築パターン2を選ばない 限りは、インターネット環境下で、各 EC サイトが選択した構築パターン3のなかにクレジットカード決済のモジュールを埋め込むカスタマイズを行い、インターネット回線を通じて PSP4に接続 し、PSP がアクワイアラーに専用線で接続するため、アクワイアラーとの接続は間接的となる。 また、カスタマイズを行う過程では、EC 加盟店自身では EC サイト等の構築・設定ができない場 合や自身より優れたカスタマイズを提供する事業者を利用したい場合には、加盟店の EC サイト上 でクレジットカード決済を行うためのシステムやサービスを提供する事業者や、クレジットカー ド決済機能を伴う EC サイトを開設することが可能なプラットフォームを構築する事業者など EC 加盟店のニーズに応じたクレジットカード決済サービスを提供する多様な事業者のサービスを利 用するようになっており、EC 加盟店となる参入障壁が低くなっている。
クレジットカード決済のモジュール自体には特段のセキュリティの基準はないほか、その埋め 込みは EC サイトに任されているところ、PSP でクレジットカード番号等が保存等されていたとし ても、クレジットカード番号等を PSP に送信させる決済モジュールを組み込んだ EC サイトに対す る保守も含めたセキュリティ対策は、EC 加盟店自らが継続的に対応する必要がある。アクワイア ラーにとっては、EC 加盟店でのクレジットカード決済処理や環境を直接把握することは困難であ り、事業者としてのセキュリティ体制や方針を確認することにならざるを得ない。EC 加盟店にと っても、立替払いやアクワイアラーへの決済システムの接続だけでなく、複数のアクワイアラー 等にクレジットカード番号を仕分ける PSP は必要不可欠な存在となっており、機能分化と業務の 専門性が深化してきている。非対面取引でのクレジットカード決済の仕組みにおいては、アクワ イアラーとしてのクレジットカード会社がすべての EC 加盟店と直接かつ日常的な接点を有する状 況にはなく、EC 加盟店とアクワイアラーの間に介在し、EC 加盟店とクレジットカード決済システ ムやサービス提供に係る契約を締結している PSP が実務的な加盟店管理を実施している場合が多 い。
2.クレジットカード決済のセキュリティ対策の経緯
クレジットカード決済のセキュリティ対策自体は、2000 年前後の偽造カードによるクレジット カードの不正利用への対策に向けて、クレジットカード業界や全国クレジットカード犯罪対策連絡 協議会の一丸となっての対応や、偽造カード不正作出の罰則化等により、一時はクレジットカード の不正利用被害額の水準も低くなっていた。
20 年割賦販売法改正では、イシュアー(委託先含む)等の従業員の持ち出し等によるクレ ジットカード番号等の漏えい事案の発生を踏まえ、大量のクレジットカード番号等を取り扱う事業 者の漏えいに対する懸念から、イシュアー・アクワイアラー(立替払取次業者)に対してクレジッ トカード番号等の適切管理の措置が求められた。また、インターネット取引等の規制強化として、 フィッシングを含む不正アクセスによるクレジットカード番号等の不正取得について罰則の対象 とした。2010 年代半ば以降、当該罰則化のほか業界での一部の事業者による決済端末の IC 対応の 自主的な取組により、偽造カードによる不正利用が減少してきたのとは対象的に、番号盗用による 不正利用が増加してきた。
このような状況の中、クレジットカード業界においては、クレジットカード取引の IC 化が既に国際水準の偽造対策として普及していたこと及び不正利用額が再び増加してきたことを踏まえ、業 界の自主的な取組を推進すべく、2015 年3月、我が国のクレジットカード取引において、国際水準 のセキュリティ環境を整備することを目的として、クレジット取引に関わる幅広い事業者及び行政 等が参画する「クレジット取引セキュリティ対策協議会」を設立し、2020 年3月までに関係事業者 が実施するべきセキュリティ対策を定めた「クレジットカード取引におけるセキュリティ対策の強 化に向けた実行計画」(2016 年2月~2019 年3月)を策定してきた。
一方、国としては、平成 20 年割賦販売法改正後も加盟店からのクレジットカード番号等の漏え い、偽造カードやなりすましによる不正利用の増加に歯止めがかからないこと、国際的にクレジッ トカード取引の IC 化等のセキュリティ対策が進展しているなか、国内のクレジットカード決済環 境が脆弱性を有した状態であることは、我が国がセキュリティホール化するリスクが高まることか ら、平成 28 年割賦販売法改正では、クレジットカード番号等の適切管理義務主体者を加盟店にも 拡大し、加盟店に対して不正利用防止義務を課すとともに、これらの義務に基づく措置の実務上の 指針として当該実行計画を位置づけた。具体的には、加盟店に対して、クレジットカード番号等の 非保持を推奨し、非保持化している場合は PCI DSS 準拠は求めていない。また不正利用防止措置と して、対面取引を行う加盟店に対しては、IC カードと暗証番号の入力によりクレジットカード会 員本人の利用であることの確認を行うことができるよう決済端末の IC 対応を求めた。これにより、 偽造カードによる不正利用被害は大きく減少した。一方、非対面取引を行う加盟店に対しては、必 ずしも単一の対策で不正利用を防止することができるものではないため、不正利用リスクに応じて 多面的・重層的な措置を講じることを求めた。このため、クレジットカード会員本人の利用を確認 するための対策は、事業者の業種や取扱商材等に応じて不正利用リスクの高い EC 加盟店が任意に 選択できる対策の一つであり、すべての EC 加盟店に対して実施を求めてはいなかった(すべての EC 加盟店共通では、各イシュアーのオーソリゼーション処理(クレジットカードの有効性確認)の 体制整備及び加盟店契約上の善良なる管理者の注意を求めていた)。
また、同改正により、認定割賦販売協会(一般社団法人日本クレジット協会)の業務に「クレジ ットカード番号等の適切な管理等に資する業務」が追加され、同協会は当該実行計画の策定のため の支援や加盟事業者に対するセキュリティ対策の指導等を法定業務として実施することとなった。 また、当該実行計画は 2020 年3月末を対応期限としていたところ、2020 年4月以降は、「クレジ ットカード・セキュリティガイドライン」(2020 年3月~。最新の 3.0 版は 2022 年3月。以下「ガ イドライン」という。)として策定され、毎年改訂されている。
令和2年割賦販売法改正では、ICT の進展に伴い、決済テクノロジーが進化するなか、決済シス テムにおいて、イシュアー・アクワイアラー・加盟店以外にも大量のクレジットカード番号等を取 り扱う事業者が現れ、大規模なクレジットカード番号等の漏えい事案の発生リスクが高まったこと から、クレジットカード番号等の適切管理義務の主体を、EC モールを含む PSP や QR コード決済事 業者、EC 決済システム提供業者等まで拡大した。
3.クレジットカードの不正利用の現況
我が国のクレジットカードの不正利用被害総額は近年増加傾向にあり、2021 年には過去最高と なり、330 億円を超えた。このうち、クレジットカード番号等の盗用の割合が 94% を占めており、主に非対面取引でのクレジットカード番号等のなりすましによる不正利用が主要な要因である。これらの不正利用の対象となっているクレジットカード番号等は、EC 加盟店を始 めとしたクレジットカード決済網に存在する事業者からの漏えいだけでなく、EC 加盟店のクレジ ットカード決済処理の仕組みを悪用してクレジットカード番号等を割り出すクレジットマスタ ー、電子メールや SMS 等を通じて利用者からクレジットカード番号等を騙しとるフィッシングに より詐取されていると想定されている。
不正利用の対象となる取引のほとんどが非対面取引であり、換金性があり転売しやすい商品や配送を伴わない商品が不正利用の標的となっていたが、昨今では、その時々の商品の需要の状況によって不正利用で購入される商品が変化することから、不正利用の対象となる商品は多様化し、また比較的低価格な商品の不正利用も増えてきている。