昨今、クレジットカード情報が、加盟店様のシステムから、犯罪者により盗みとられる事案(情報流出)が、世界的に頻発しております。
米国では、対面加盟店のPOSシステムが標的となった情報漏洩も確認されております。
盗みとられたクレジットカード情報は、「偽造クレジットカード」の作成や、ネット取引での 「なりすまし」といった不正利用に使われ、社会的問題となっています。
また、加盟店様からクレジットカード情報が流出した場合には、加盟店様のビジネスにも大きな損害が発生することにもなります。
そこで日本クレジットカード協会(JCCA)では、加盟店様にクレジットカード情報の流出の危険性を軽減いただくための方策として、下記のお願いをさせていただいております。
つきましては、ご理解とご協力をお願い申し上げる次第です。
なお、JCCAの会員会社は、日本クレジット協会(JCA)の「カード情報の保護対策の計画」の推進に参画しています。
クレジットカード情報の流出リスク
万一、加盟店様からクレジットカード情報が流出してしまいますと、加盟店様には次のような問題が生じ、大きな打撃を受けかねません。
- お客様をはじめ社会からの加盟店様への信頼が損なわれます。
- お客様への対応(事実告知、照会対応、お詫び等)の費用・労力が必要となります。
- 当該サイトは、問題が解決するまで、閉鎖することになり、売上減少につながります。
- 原因の調査、システムの改修等の費用がかかります。
- お客様のカード差替等に係るカード会社への費用がかかります。
- 行政当局、マスコミへの対応が必要となります。
- 国際ブランド(カード会社経由)からの補償金支払い請求が生じる場合があります。
クレジットカード情報の流出防止対策(当協会からのお願い)
当協会では、加盟店様に以下に掲げる、カード情報の流出防止策のいずれかをお願いしています。
割賦販売法においても、クレジットカード情報の保護の規程があります。
(1)クレジットカード情報の非保持化
クレジット取引セキュリティ対策協議会実行計画において、クレジットカード情報の原則非保持化、カード情報を保持する場合はPCI DSSへの準拠を求められております。
(2) PCI DSSへの準拠
クレジットカード等の情報を自社のシステムで扱う場合には、クレジットカード情報が盗みとられないための国際基準であるPCI DSSに準拠いただくようお願いしております。
①PCI DSS(Payment Card Industry Data Security Standards)とはPCI DSSは、国際カード5ブランド(AmericanExpress、Discover、JCB、Mastercard、Visa)が共同で策定している、世界的に統一されたクレジットカード情報のセキュリティ対策の ディファクト・スタンダードです。PCI DSSの維持・管理は、PCI SSC(Payment Card Industry Security Standards Council)によって行われています。
②PCI DSSに準拠による効果
- 具体的な対応基準が示されており、カード情報の流出のリスクを低減できます。
- 御社の情報保護の対応が、世界標準に準拠していることを確認できます。
- 準拠証明を取得すれば対外的にも表明でき、企業価値の向上につなげられます。
- 万一情報流出し不正利用された場合でも、国際ブランドからの賠償(カード会社経由)が免除されるケースがあります。
③PCI DSSに準拠への第一歩
公表されているPCI DSSの要求事項と御社の状況のギャップを知ることが第1歩となります。
なお、ギャップの調査は、PCI DSS基準を自社で確認する方法もありますがPCI DSSの準拠をサポートする事業者等の力を借りて効率的に実施する方法もあります。
こうした事業者の団体として「日本カード情報セキュリティ協議会(JCDSC)」があります。