クレジットカード情報の保護(流出防止)について

クレジットカード情報の保護(流出防止)について

カード情報保護についてご説明します

目次
  1. クレジットカード情報の流出リスク
  2. クレジットカード情報の流出防止対策(当協会からのお願い))

昨今、クレジットカード情報が、加盟店様のシステムから、犯罪者により盗みとられる事案(情報流出)が、世界的に頻発しております。
米国では、対面加盟店のPOSシステムが標的となった情報漏洩も確認されております。
盗みとられたクレジットカード情報は、「偽造クレジットカード」の作成や、ネット取引での 「なりすまし」といった不正利用に使われ、社会的問題となっています。

また、加盟店様からクレジットカード情報が流出した場合には、加盟店様のビジネスにも大きな損害が発生することにもなります。

そこで日本クレジットカード協会(JCCA)では、加盟店様にクレジットカード情報の流出の危険性を軽減いただくための方策として、下記のお願いをさせていただいております。
つきましては、ご理解とご協力をお願い申し上げる次第です。

なお、JCCAの会員会社は、日本クレジット協会(JCA)の「カード情報の保護対策の計画」の推進に参画しています。

JCAホームページはこちら

クレジットカード情報の流出リスク

万一、加盟店様からクレジットカード情報が流出してしまいますと、加盟店様には次のような問題が生じ、大きな打撃を受けかねません。

  • お客様をはじめ社会からの加盟店様への信頼が損なわれます。
  • お客様への対応(事実告知、照会対応、お詫び等)の費用・労力が必要となります。
  • 当該サイトは、問題が解決するまで、閉鎖することになり、売上減少につながります。
  • 原因の調査、システムの改修等の費用がかかります。
  • お客様のカード差替等に係るカード会社への費用がかかります。
  • 行政当局、マスコミへの対応が必要となります。
  • 国際ブランド(カード会社経由)からの補償金支払い請求が生じる場合があります。

クレジットカード情報の流出防止対策(当協会からのお願い)

当協会では、加盟店様に以下に掲げる、カード情報の流出防止策のいずれかをお願いしています。
割賦販売法においても、クレジットカード情報の保護の規程があります。

(1)クレジットカード情報の非保持化

クレジット取引セキュリティ対策協議会実行計画において、クレジットカード情報の原則非保持化、カード情報を保持する場合はPCI DSSへの準拠を求められております。

カード情報の非保持化について

(2) PCI DSSへの準拠

クレジットカード等の情報を自社のシステムで扱う場合には、クレジットカード情報が盗みとられないための国際基準であるPCI DSSに準拠いただくようお願いしております。

①PCI DSS(Payment Card Industry Data Security Standards)とはPCI DSSは、国際カード5ブランド(AmericanExpress、Discover、JCB、Mastercard、Visa)が共同で策定している、世界的に統一されたクレジットカード情報のセキュリティ対策の ディファクト・スタンダードです。PCI DSSの維持・管理は、PCI SSC(Payment Card Industry Security Standards Council)によって行われています。

PCI SSCホームページはこちら

②PCI DSSに準拠による効果

  • 具体的な対応基準が示されており、カード情報の流出のリスクを低減できます。
  • 御社の情報保護の対応が、世界標準に準拠していることを確認できます。
  • 準拠証明を取得すれば対外的にも表明でき、企業価値の向上につなげられます。
  • 万一情報流出し不正利用された場合でも、国際ブランドからの賠償(カード会社経由)が免除されるケースがあります。

③PCI DSSに準拠への第一歩

公表されているPCI DSSの要求事項と御社の状況のギャップを知ることが第1歩となります。
なお、ギャップの調査は、PCI DSS基準を自社で確認する方法もありますがPCI DSSの準拠をサポートする事業者等の力を借りて効率的に実施する方法もあります。
こうした事業者の団体として「日本カード情報セキュリティ協議会(JCDSC)」があります。

JCDSCホームページはこちら