2023.01.24

経済産業省、全ECサイトが義務化対象 セキュリティー対策で脆弱性対策と本人認証導入を義務化

クレジットカード情報の漏洩対策を義務化

経済産業省は1月20日、ECサイトの脆弱性対策と本人認証の仕組みを導入することを義務化する方針を固めた。2024年3月末までに、全てのECサイトが脆弱性対策と本人認証を導入することを、検討会の報告書案に盛り込んでいる。

ECサイトと本人認証の仕組みの導入の義務化は、「クレジットカード決済システムのセキュリティ対策強化検討会」の第6回会合で提出された報告書案に盛り込まれた。

報告書案では、クレジットカード番号の不正利用被害が増え続ける問題を背景に、「ECサイトからクレジットカード情報が漏洩することへの対策」「漏洩したクレジットカード情報が不正に使われることへの対策」の2点を盛り込んだ。

具体的には、「クレジットカード番号等の適切管理義務の水準を引き上げるべく、サイト自体の脆弱性対策を必須化(システム上の設定不備改善、脆弱性診断、ウイルス対策等)」「不正利用防止措置として、利用者本人しか知り得ない・持ち得ない情報(ワンタイムパスワード・生体認証)による利用者の適切な確認(本人認証)の仕組みを順次導入(~2024年度末)」――の2点を盛り込んでいる。

各EC加盟店が、脆弱性対策と本人認証の仕組みを導入したかどうかについては、カード会社や決済代行会社が管理・監督するとしている。

各加盟店が導入をしない場合、カード会社との契約によっては、契約解除に至る可能性もあるとしている。

報告書案は今後、同検討会で「報告書」としてまとめられる予定。報告書の内容を基に、(一社)日本クレジット協会がまとめる「クレジットカード・セキュリティーガイドライン」を改定する見通しだ。


【専門家の声】


▲DGフィナンシャルテクノロジー 篠寛社長
 

「安全」は集客や接客同じく重要



クレジットカード決済システムのセキュリティ対策強化検討会がまとめた報告書案について、決済代行会社のDGフィナンシャルテクノロジーの篠寛社長は、「安心・安全のためのセキュリティー対策は、集客やカスタマーサポートと同様に重要だ」と話している。


脆弱性対策と本人認証の導入は、EC企業にとって、カード決済だけでなく、ECサイトの全体のセキュリティーレベルを上げることにつながる。不正者の攻撃や不正利用を抑止することにつながるため、プラスに働く。

今回の義務化では、カード会社や決済代行会社を横断した不正情報を活用することにもつながる。不正検知の精度向上が向上し、さらなる不正の抑止にもつながる。業界全体で対策強化を推進することになる。

EC事業者にとっては、セキュリティー対策と、「EMV 3DS」を使った本人認証導入の必須化により、各種対応に伴う投資やリソース確保が必要になる。

EC事業者に理解してほしい点として、エンドユーザーに選ばれるためには、集客やカスタマーサポートなどと同じく、安心して買い物ができるECサイトのセキュリティーの視点も重要であり、必要な対策であるということだ。

EC事業者がなるべく負荷がなく対応できるよう、我々決済代行会社も、さまざまなソリューションの提供や、支援体制の整備などを行い、EC事業者をサポートしていく。





RECOMMEND合わせて読みたい

RELATED関連する記事

RANKING人気記事