「クレジットカード情報が漏洩すると、どのような被害につながるの?」
「手間や時間をかけず、継続的にセキュリティ対策する方法は?」
クレジットカード情報の漏洩事件は後を絶たず、不正利用による被害額も増加傾向にあります。情報漏洩が起これば、経済的損失だけでなく、組織の信頼も大きく損なわれるおそれがあります。EC事業者は、より一層のセキュリティ対策が欠かせません。
しかし、対策の必要性は理解していても、具体的な方法がわからない方も多いでしょう。また、対策を実施したとしても一度だけでは不十分です。安全性を保つには、継続的に対策を実施する必要があります。
そこで本記事では、クレジットカード情報漏洩について以下の内容を解説します。
- 漏洩被害の現状
- 漏洩の原因・手口
- 漏洩した場合の対応方法
- 漏洩を防ぐための対策
本記事を読むことで、クレジットカード情報を安全に取り扱うためのポイントや、長期的に対策し続ける方法がわかります。「EMV 3-Dセキュア」や「セキュリティ・チェックリスト」など、実施が義務化される最新のセキュリティ対策も紹介するので、クレジットカード情報を取り扱っている組織の方はぜひご一読ください。
クレジットカードの情報漏洩対策を検討している組織の方、必見!
クレジットカードの情報漏洩を防ぐには、どのような対策が効果的?
セキュリティガイドラインの順守やWebサイトのセキュリティ強化が必要です。具体的な事例や最新データを元に、Webサイトを安全に運営するための方法をわかりやすく解説した資料をご用意しておりますので、ぜひこちらもご覧ください。
クレジットカード情報漏洩を防ぐためのセキュリティ対策
クレジットカード情報漏洩を防ぐには、複数のセキュリティ対策を講じることが重要です。
- 不正利用対策
- 情報保護対策
- ECサイト利用者への周知啓発の強化
EC事業者は常に最新のセキュリティ動向に注意を払い、対策を更新し続けることが求められます。本章では必ず対応しなければならないセキュリティ対策も紹介するので、ぜひ参考にしてください。
不正利用対策
クレジットカードの不正利用を防ぐ対策は、次の2つです。
- EC事業者に求められる4方策の実施
- EMV 3-Dセキュアの導入
すべてのEC事業者に義務化される対策もあるため、しっかり内容を把握して早めに対応しましょう。
EC事業者に求められる4方策の実施
EC事業者はクレジットカード情報の漏洩リスクや実際の被害の有無にかかわらず、不正利用対策の4つの方策を基本とした対策の導入が求められています。
方策 | 特徴 | |
① 本人認証 |
EMV 3-Dセキュア |
カード会員のデバイス情報を利用し、不正利用のリスクを判断する |
認証アシスト | 取引時の属性情報とカード会社の登録情報を照合し、本人かどうか確認する | |
② 券面認証 |
クレジットカードに記載されているセキュリティコードを入力し、カードの真正性を確認する | |
③ 属性・行動分析 (不正検知システム) |
過去の取引情報をもとにリスク評価し、不正取引を判定する | |
④ 配送先情報 | 不正配送先情報の蓄積により、商品の発送を事前に停止する |
上記の方策は、各EC事業者が取り扱う商品やサービス、販売方法に応じて適切に選択し、実施する必要があります。特に、不正利用が頻繁に発生しているEC事業者においては、複数の対策を組み合わせた多面的なアプローチが不可欠です。
加盟店 | 導入すべき対策 |
すべてのEC事業者 |
|
高リスク商材取扱加盟店 (デジタルコンテンツ・家電・電子マネー・チケット・宿泊予約サービスを商材として扱う加盟店) |
|
不正顕在化加盟店 (不正利用被害が多発している加盟店) |
|
※参考:クレジットカード・セキュリティガイドライン【5.0 版】|一般社団法人日本クレジット協会
EMV 3-Dセキュアの導入
4方策に挙げられているEMV 3-Dセキュアの導入は、経済産業省により2025年3月末を目処に義務化されることが発表されています。EMV 3-Dセキュアとは、オンラインショッピング時のクレジットカード情報の不正利用を防ぐための本人認証サービスです。
EMV 3-Dセキュアではカード利用者の決済情報を基に、リスクレベルを判断します。リスクが低い場合は追加認証なしで取引が完了しますが、中程度のリスクがある場合はパスワードなどの追加認証が要求されます。高リスクと判断された場合は、取引自体が拒否される仕組みです。
EMV 3-Dセキュアの導入により、クレジットカード情報の漏洩リスクが低減され、より安全なオンライン決済環境が実現されるでしょう。EC事業者は、義務化に向けて早期の対応が求められます。
情報保護対策
クレジットカードの情報漏洩を防ぐには、以下の情報保護対策が有効です。
- クレジットカード・セキュリティガイドラインの順守
- セキュリティ・チェックリストに基づく対策の実施
- 定期的な脆弱性診断の実施
最新のセキュリティ基準に適合しているかを定期的に確認し、必要に応じて対策を更新しましょう。
クレジットカード・セキュリティガイドラインの順守
クレジットカード・セキュリティガイドラインとは、クレジットカードの取引に関わる各事業者が実施すべきセキュリティ対策の指針をまとめたもので、一般社団法人日本クレジット協会が公表しています。ガイドラインの中で定められている対策は、大きく以下の3つに分類されます。
- 情報保護対策
- 対面取引における不正利用対策
- 非対面取引における不正利用対策
特にECサイトを運営している事業者の場合、「情報保護対策」と「非対面取引における不正利用対策」の2つがメインとなります。ガイドラインを入念にチェックして対策を検討しましょう。
※参考:クレジットカード・セキュリティガイドライン【5.0 版】|一般社団法人日本クレジット協会
セキュリティ・チェックリストに基づく対策の実施
ECサイト事業者が新たに決済代行会社と契約を結ぶ際には、「セキュリティ・チェックリストに基づく対策措置状況申告書」の提出が求められます。このチェックリストは、ECサイト事業者で適切なセキュリティ対策が実施されているかを確認するためのものです。
チェックリストにはアクセス制御や脆弱性診断など、顧客情報の漏洩を防ぐために実施すべき対策項目が記載されています。すべての項目を満たすことでECサイトのセキュリティが強化され、クレジットカードの情報漏洩リスクを低減できます。
定期的な脆弱性診断の実施
定期的な脆弱性診断の実施は、セキュリティ・チェックリストに記載されているほど重要なセキュリティ対策です。診断を実施することで、攻撃の入口になる可能性がある脆弱性を発見できます。
具体的には、ECサイトにおける脆弱性の有無と危険度をチェックし、危険度の評価と対策の提示を行います。ECサイトの脆弱性を利用したサイバー攻撃による不正アクセスを防ぐことにつながるため、クレジットカード情報の漏洩予防に有効です。
さらに、脆弱性診断ツールを導入すれば、自社内で定期的に脆弱性の有無をチェックできます。継続的に診断を行うことで、ECサイトの安全性を高いレベルで保つことができるでしょう。
経済産業省によるクレジットカード決済システムのセキュリティ対策強化検討会報告書では、脆弱性診断を含めたセキュリティ対策の必須化を、2024年度末までにクレジットカード・セキュリティガイドラインに記載することが求められています。定期的な脆弱性診断の実施が、今後ますます重要になると考えられます。
▼関連記事
脆弱性診断(セキュリティ診断)とは|必要性からやり方まで、すべて解説
脆弱性診断ツール(サービス)|有料・無料の違いと5つの選定ポイント
ECサイト利用者への周知啓発の強化
利用者がマルウェアやフィッシングによる被害にあわないためにも、周知啓発の強化は有効な対策の一つです。マルウェアやフィッシングによるクレジットカード情報の窃取は、偽のメールや偽のWebサイトを使うため、ECサイトそのものへのセキュリティ対策を強化するだけでは防げません。
自社からのメールやWebサイトを騙ったフィッシングが確認された場合、利用者へ迅速に周知と注意喚起を行う必要があります。
まとめ|クレジットカード情報漏洩を防ぐには脆弱性診断が重要
クレジットカード情報の漏洩は、事業者にとって大きな打撃となります。事故対応や損害賠償にともなう経済的被害だけではなく、組織としての社会的信頼を失ってしまうおそれがあるため、きちんとセキュリティ対策を実施しましょう。
ECサイトを運営する事業者がクレジットカード情報の漏洩を防ぐには、以下の対策が有効です。
- 不正利用対策の4方策の実施
- EMV 3-Dセキュアの導入
- クレジットカード・セキュリティガイドラインの順守
- セキュリティ・チェックリストに基づく対策の実施
- 定期的な脆弱性診断の実施
- 利用者への周知啓発の強化
なかでも「脆弱性診断」の実施は、ECサイトに潜むリスクの検知・修正に役立ちます。定期的に診断することで情報漏洩を未然に防いだり、事故が起きるリスクを低減できたりするでしょう。脆弱性診断ツールを導入すれば自動化できるため、長期的に対策し続けられるメリットもあります。
ECサイト全体のセキュリティを見直し、クレジットカード情報保護に努めましょう。