キャッシュレス化で増大するクレジットカード不正使用のリスクと対策とは?
1.増加するクレジットの不正使用被害
訪日外国人のさらなる増加を目指し、政府が決済のキャッシュレス化を進める一方、セキュリティの課題も持ち上がっています。顕著なものがクレジットカードの利用増に伴う、不正使用の増加です。一般社団法人日本クレジット協会の統計によると、2012年には年間68億円まで落ち着いていたクレジットカードの年間不正使用被害額が、2016年には140億円と2倍以上に増加しています[1]。カード自体の不正使用に加え、クレジットカード情報や個人情報が不正に取得されることにより、偽造カードやなりすましに悪用されるケースが多くなっています。複数の事業者および国をまたいで被害が拡大しています。
2.事業者に求められる3つの対策
キャッシュレス化の推進により、クレジットカードが利用される加盟店やオンラインサイトが増えることで、セキュリティレベルにばらつきが出ることも不正使用増加の一因と考えられます。そこで今回は、経済産業省が発表する「クレジットカードの安全・安心な利用環境の整備に向けて」を基に、事業者側が備えておくべき対策についてまとめます。
●目的:クレジットカードの情報の漏えい防止
●対策:カード情報の非保持、またはPCI DSSに準拠するセキュリティの向上
国内の大きな漏えい案件は、概して事業者からの流出によるものです。これを受けて、クレジットカード周辺の情報が漏えいすることを防ぐため、事業者はカード情報を持たないということが1つの安全策として挙げられています。
また、グローバルなセキュリティ基準であるPCI DSSに準拠することも推奨されています。これは、加盟店やサービスプロバイダによるクレジットカード情報の安全な取り扱いを目的として、国際カードブランド5社が策定したもので、詳細かつ安全性の高いセキュリティポリシーに準拠することで認定を受けることができます。
●目的:偽造カードによる不正使用対策
●対策:カード&決済端末のIC化
従来の磁気ストライプタイプに代わり、スキミング被害の起こりにくいICタイプのカードおよび決済端末への切り替えが進められています。IC先進国のヨーロッパ諸国や、IC化を急速に推進する米国や隣国の韓国に比べ、日本のIC化は全体ではまだ2割未満とのデータもあり、2020年に向け対策が急がれます。日本経済産業省は2020年3月までに、すべての決済端末をIC対応にすることを目指しています[2]。
●目的:オンライン上のなりすまし等による不正使用の防止
●対策:多面的・重層的な不正使用対策の導入
ECサイト等のオンラインサイトで、不正に取得されたクレジットカード情報が使用されることを防ぐため、二要素認証などのセキュリティ強化が求められています。ユーザーに対し、ユーザーに関する追加情報の入力を求めたり、ワンタイムパスワードや生体認証を採用したりするなど、パスワード以外の認証法を組み合わせて導入することで不正使用を防ぎます。
クレジットカードの利用が増え決済の利便性が増すことは、ユーザーだけでなく事業者にとっても大きなメリットとなる一方で、情報漏えいや不正使用は企業にとって致命的なダメージとなりかねません。キャッシュレス化に向け、各事業者が不正使用に対する防衛策を講じていくことが大切です。事業者が行うべき対策については、「増大する脅威、リスト型攻撃による不正ログイン対策まとめ」もご参照ください。
(文/星野みゆき 画像/© Thomas – Fotolia)
参考:
[1] 一般社団法人日本クレジット協会. (2017). クレジットカード不正使用被害の発生状況http://www.j-credit.or.jp/information/statistics/download/toukei_03_g_170331.pdf [2] 経済産業省. (2016). クレジットカードの安全・安心な利用環境の整備に向けて
https://www.nisc.go.jp/conference/cs/ciip/dai07/pdf/07shiryou0602.pdf [3] 日本カード情報セキュリティ協議会. (2009). PCI DSSとは
http://www.jcdsc.org/pci_dss.php