504.7億円にも達したクレジットカードの不正利用-3 ～クレジットカード会社と加盟店の対策

1. 4. クレジットカード会社と加盟店の対策
1.1. カード発行会社のリスク管理と対応策
1.1.1. 主なリスク管理の手法
1.2. 加盟店に求められるセキュリティ対策
1.2.1. 加盟店が講じるべき主なセキュリティ対策
1.3. 決済代行業者の役割とセキュリティ対策
1.3.1. 決済代行業者の主な役割
1.3.2. 決済代行業者に求められるセキュリティ対策

“504.7億円にも達したクレジットカードの不正利用”と題して、クレジットカードを不正に利用した被害額が年間で500億円をも超えている状況を踏まえて、その実態と対策についてご紹介する”504.7億円にも達したクレジットカードの不正利用 ~不正利用の実態と最新対策”シリーズも今回で3回目となりました。

今回は”クレジットカード会社と加盟店の対策“です。もし、前回、前々回の記事をご覧になっていない場合は、以下のリンクより是非ご覧ください。

4. クレジットカード会社と加盟店の対策

クレジットカード会社と加盟店の対策ということで、クレジットカード会社側でとっているセキュリティ対策の中身を知りつつ、それに加えて加盟店側でもしっかりとセキュリティ対策をとっていく、それぞれの関係者が果たすべき役割をしっかりと認識し、対策をとる！という目的で、クレジットカード会社と加盟店の対策という今回のセクションを設けました。

では、さっそくはじめましょう。

クレジットカードの不正利用を防ぐためには、カード発行会社（イシュア）、加盟店、決済代行業者が連携し、適切なセキュリティ対策を講じることが不可欠です。

イシュアー(issuer)とは聞きなれない用語ですが、クレジットカード業界ではクレジットカード発行会社を指す言葉で、「発行者、発行人」という意味があります。詳しくは、「今更聞けないIT用語辞典」に基本的な解説をのせていますので、是非こちら（イシュアー | 今更聞けないIT用語集）もご覧ください。

カード発行会社のリスク管理と対応策

クレジットカード会社（イシュア）は、カードの発行だけでなく、不正利用の検知・防止を担う重要な役割を果たしています。近年、不正取引の手口が高度化しているため、発行会社は先進的な技術を導入し、セキュリティを強化しています。

主なリスク管理の手法

イシュアが対策として導入しているリスク管理の主な手法についてご紹介します。

不正検知システム（FDS：Fraud Detection System）の導入
- AIや機械学習を活用し、通常とは異なる取引パターンをリアルタイムで検知。
- 高リスクな取引には、追加認証（3Dセキュア、ワンタイムパスワードなど）を要求。
- カード所有者にSMSやアプリ通知を送信し、利用の確認を実施。
利用限度額の設定と監視
- ユーザーごとに適切な利用限度額を設定し、高額取引に対する監視を強化。
- 短期間に大量の取引が行われた場合、自動的に取引をブロックする機能を搭載。
カード情報のトークン化（Tokenization）
- 実際のカード番号の代わりに、ランダムなトークンを使用することで、情報漏洩リスクを低減。
- Apple PayやGoogle Payなどのモバイル決済サービスでは、トークン化技術が標準的に採用されている。
本人認証の強化
- 生体認証（指紋認証・顔認証）を用いた決済手段の導入。
- カード発行時の厳格な本人確認（KYC：Know Your Customer）の実施。

カード発行会社は、これらの対策を組み合わせることで、不正利用のリスクを最小限に抑え、利用者に安全な決済環境を提供しています。

加盟店に求められるセキュリティ対策

加盟店は、クレジットカード決済を安全に処理するための重要な責任を負っています。加盟店のセキュリティ対策が不十分だと、不正利用の温床となるだけでなく、チャージバック（利用者からの返金請求）による経済的損失を被るリスクもありますので、十分過ぎるほどの対策と日々の注意が必要です。

加盟店が講じるべき主なセキュリティ対策

PCI DSS（Payment Card Industry Data Security Standard）の遵守
- PCI DSSは、クレジットカード情報を安全に取り扱うための国際的なセキュリティ基準。
- 加盟店は、カード情報の保存・処理・伝送に関する要件を満たす必要がある。
EMV対応の決済端末の導入
- 磁気ストライプではなく、ICチップを利用した決済端末を採用。
- スキミング被害を防ぐため、NFC（非接触決済）対応端末の導入も推奨される。
3Dセキュア対応のEC決済システムの採用
- オンライン決済時に3Dセキュアを利用することで、不正取引のリスクを軽減。
- 加盟店側のチャージバック負担を削減できるため、導入メリットが大きい。
内部不正の防止
- 社内でクレジットカード情報を扱う従業員へのセキュリティ教育を徹底。
- POS端末や決済システムへのアクセス管理を強化し、不正アクセスを防止。
異常取引の監視と対応
- 高額商品や転売目的の商品（ギフトカード、電子機器など）の購入時に、追加の本人確認を実施。
- 住所が一致しない配送先への注文や、不審な複数回の決済を警戒。

加盟店がこれらの対策を適切に実施することで、クレジットカード不正利用の被害を最小限に抑え、安全な決済環境を提供することができます。

決済代行業者の役割とセキュリティ対策

決済代行業者（PSP：Payment Service Provider）は、加盟店とクレジットカード会社の間で決済処理を担う重要な存在です。PSPのセキュリティ対策が不十分だと、大規模な情報漏洩や不正決済のリスクが高まるため、厳格な管理が求められます。

決済代行業者の主な役割

加盟店とカード発行会社の間の決済処理を仲介。
トークン化技術や暗号化技術を用いて、カード情報を安全に処理。
不正検知システムを活用し、異常な取引をリアルタイムで検知。

決済代行業者に求められるセキュリティ対策

PCI DSS完全準拠
- 決済代行業者は、厳格なセキュリティ基準を満たす必要がある。
- 定期的なセキュリティ監査を実施し、システムの脆弱性をチェック。
カード情報の暗号化とトークン化
- カード情報は、決済代行業者が直接管理せず、暗号化技術を利用して処理。
- トークン化技術により、加盟店側にカード情報が残らない仕組みを提供。
不正検知システム（Fraud Management）の導入
- AI・機械学習を活用し、不正取引をリアルタイムで検知・ブロック。
- 不審な取引が検出された場合、追加認証（OTP・生体認証）を要求。
セキュリティインシデント対応体制の整備
- 万が一の情報漏洩や不正アクセス発生時に備え、迅速な対応ができる体制を構築。
- 顧客や加盟店への影響を最小限に抑えるためのリスク管理を徹底。

決済代行業者がこれらの対策を適切に実施することで、クレジットカード決済の安全性が高まり、加盟店と消費者の信頼を確保することができます。

ここまでは、「504.7億円にも達したクレジットカードの不正利用-3 ～クレジットカード会社と加盟店の対策」と題して、イシュアと加盟店・PSPがとるべきセキュリティ対策の基本について、ご紹介しました。次回は、「504.7億円にも達したクレジットカードの不正利用-4 ～ユーザーができる不正利用防止策」と題して、クレジットカードを利用する側、つまりユーザー側の視点での不正利用対策についてご紹介します。

クレジットカードを利用したシステムのセキュリティ対策は、事業の安定した稼働基盤となり、今後の競争力の源泉となるでしょう。ぜひ、本記事の内容を活用いただき、貴社のセキュリティ対策のの一助としていただければと存じます。

ご質問やクレジットカードを利用したシステムのセキュリティ対策やシステム開発、リファクタリング等のご提案依頼等につきましては、弊社問い合わせフォームよりお気軽にお問い合わせください。

システム開発にお困りではありませんか？

もしも今現在、

どのように開発を依頼したらよいかわからない
どのように開発を依頼したらよいかわからない
企画や要件定義の段階から依頼できるのか知りたい
システム開発費用がどれくらいかかるのか知りたい
見積りがほしい

など、システム開発に関するご相談・ご依頼がございましたら、お気軽にご相談ください。APPSWINGBYでは、「アプリでお客様のビジネスを加速し、お客様とともにビジネスの成功と未来を形作ること」をミッションとしています。大手SIerやＲ＆Ｄ部門で培った経験やノウハウ、高度な技術力でお客様の「やりたい」を実現します。

今すぐ相談

まずはお気軽にご相談ください

この記事を書いた人

株式会社APPSWINGBY マーケティング

APPSWINGBY（アップスイングバイ）は、アプリケーション開発事業を通して、お客様のビジネスの加速に貢献することを目指すITソリューションを提供する会社です。

ご支援業種

情報・通信、医療、製造、金融（銀行・証券・保険・決済）、メディア、流通・EC・運輸など多数