セキュリティ対策に着手する

セキュリティに関する加盟店の必須対策と推奨対策

Mastercardカードを取り扱うためには、加盟店は規定の情報データセキュリティ要件を遵守しなければなりません。Mastercardの規則と推奨事項は、店舗での取引、オンライン取引、電話による取引を含む、すべての取引に適用されます。

決済カードの不正使用によって、毎年、何百万ドルもの損害が発生しています。この被害の大きい犯罪からビジネスを守るために、加盟店の皆様は下記のような対策を講じることができます。

  • 従業員研修に不正使用防止策を取り入れる。
  • レジの近くや従業員専用エリアに不正使用防止についての張り紙をする。
  • 不正取引を防止した従業員に報償やインセンティブを与える。

 

1. 不正使用に関する知識を身につける

カードの不正使用には下記の種類があります。

  • カードの変造・偽造 変造カードは、氏名や有効期限、カード番号、磁気ストライプなどに何らかの変更が加えられています。偽造カードとは、有効な口座番号が表示されている偽のカードのことです。有効なカード番号がカード表面、もしくはカード裏面の磁気ストライプ、あるいはその両方に入っている場合もあります。
  • カードの紛失・盗難 カードホルダーからカードが盗まれ、正規の加盟店からの商品やサービスの購入に不正使用されるケースです。
  • 通信販売やテレフォンショッピングでの不正使用 正規のカードホルダー以外の人が、Mastercardのカードの情報(多くの場合、カードの有効期限とカード裏面のカード確認コード(CVC:Card Validation Code))を入手し、それを使って通信販売やテレフォンショッピングで商品やサービスを購入するケースです。

初めてカードの取り扱いをお始めになる方も、また、セキュリティの手順や仕組みをおさらいしたい方も、下記の手順やチェックリスト、ツールを大切なビジネスの保護にお役立てください。

 

2. カードの不正使用に対する警戒を怠らない

顧客からMastercardカードの提示があったら、加盟店のスタッフはその都度、下記のチェックリストの手順を踏まなければなりません。

  • カード表面に表示されている浮き出し文字(エンボス)の数字をチェックする。
    Mastercardのカード番号はすべて、最初の数字が「5」です。口座番号が浮き出し文字で表示されている場合、浮き出し文字は明瞭で、大きさと間隔が均一でなければならず、ホログラムがカード表面にある場合にはそのホログラムにかかっていなければなりません。カード表面に表示されているカード番号の下4桁は、カード裏面のサインパネルに印刷されている4桁の数字と一致しなければなりません。数字は削られていてはなりません。また、浮き出し文字のカード番号の下に、前の番号の跡がぼんやりと見えていてはなりません。
  • ホログラムを確認する。Mastercardのホログラムは通常、Mastercardカードの表面に、Mastercardブランドロゴの上か下に配置されています。ただし、一部の新しいカードデザインでは、ホログラムがカード裏面にあったり、カード裏面の磁気ストライプと一体化したりする場合があります。地球が重なり合った図柄の立体ホログラムは光を反射し、カードを回転させると動くように見えなければなりません。
  • サインを比較する。カード裏面にはサインが記入されていなくてはならず、カードホルダーが売上票に記入したサインと一致しなくてはなりません。サインの上にテープが貼られていたり、サインに損傷があったり、サインが削除もしくは不審な形で変更されたりしていないことを確認します。サインパネルに「Void」の文字が現れている場合、それはサインパネルが改ざんされたことを表しています。
  • 磁気ストライプを確認する。カード裏面の磁気ストライプが曲がっておらず、表面が滑らかで、手が加えられた形跡がないことを確かめます。
  • 有効期限を確認する。加盟店の店員はカードの有効期限を確認しなくてはなりません。浮き出し文字で表示されている有効期限を経過しているカードを取り扱ってはなりません。
  • 新しいカードデザインについて把握しておく。Mastercardでは先般、Mastercard非エンボスカード (Mastercard Unembossed)という新しいカードを導入しました。新カードは、従来のカードとは外観が異なります(浮き出し文字の数字がないためインプリントはとれません)が、れっきとしたMastercardブランドのカードです。このタイプのカードを取り扱うためには専用の対応端末が必要です。
    また、Mastercardでは、ホログラムをカード裏面に表示したり、カード裏面の磁気ストライプと一体化したりできる新カードデザインも導入しています。
  • カード利用者がカードホルダー本人であることを確認する。Mastercardカードは他人への譲渡が認められません。売上票のサインがカード表面の氏名と一致するかどうか確認してください。また、お客様の様子が普通かどうか、不安そうな様子がないかよく観察してください。

 

不審な様子が見られた場合、サポートを求めることができます。従業員の方が少しでもカードに不審な点があると感じた場合、ご契約されたカードお取り扱いカード会社及び金融機関のオーソリセンターへ電話をかけ、オペレーターを呼び「コード10」と伝えてください。カードお取り扱いカード会社及び金融機関は、その取引を完了してよいかどうかの判断をサポートします。

「参照用カードをダウンロードする」(英語)

 

3. システムの安全性に万全を期す

貴店のシステムは下記のセキュリティ要件に適合しなければなりません。

  • カードホルダーの暗証番号を保護する。ATMや販売時点管理(POS)での取引の際、カードホルダーの暗証番号(PIN)を使ってお客様の本人確認をする場合があります。お客様に暗証番号を求める場合、セキュリティ基準に従って暗証番号を暗号化しなければなりません。また、加盟店は絶対に暗証番号を保存してはなりません。
  • レシートにカード番号の全桁を印字しないこと。Mastercardでは、加盟店に対し、カードホルダーにお渡しするレシートにはカード番号の下4桁だけを印字することを義務づけています。こうすることで、カードホルダーのカード番号が不正使用者の手に渡る可能性を低く抑えることができます。
  • データの保管を適切に行う。Mastercardでは、カード発行会社、アクワイアラー、加盟店、第三者プロセッサー(TPP:Third Party Processors)にPCI情報データセキュリティ基準(Payment Card Industry Data Security Standard)(英語)の遵守を義務づけています。

    詳しくは、カード会員個人情報保護に関するお願いをご覧ください。

    加盟店は、Mastercard SDP(サイトデータプロテクション)プログラムを利用して、PCI情報データセキュリティ基準のコンプライアンスを評価査定できます。このプログラムは、カードホルダーのデータを処理、送信、保管する加盟店およびサービス・プロバイダーに適用され、ネットワーク・スキャン規定によって口座データの流出を予防します。加盟店の皆様のPCI情報データセキュリティ基準の遵守状況は、カードお取り扱いカード会社及び金融機関が緊密に監視することになっています。

     

4. セキュリティ分野の最新動向と課題を常に把握する

Mastercardでは、加盟店の皆様の利益をお守りする新しい方法を絶えず考案しています。最新のセキュリティ・プログラムやセキュリティ手段についての情報収集を常に怠らないように心がけてください。また、下記のような決済カードの機能拡充も把握しておく必要があります。

  • Mastercard®コンタクトレス
    Mastercardコンタクトレスは、高周波(RF)チップおよびアンテナを内蔵したMastercardカードや新タイプの非接触型デバイスのことです。Mastercardコンタクトレスを使うと、カードを端末にさっとかざすだけで、素早く精算が完了し、カードを磁気ストライプリーダーに通す手間は不要です。Mastercardコンタクトレスカードやデバイスは利用者の手を離れることがないため、よりいっそう安心感が高まります。また、最先端のICチップベースの暗号技術(CVC3)によってセキュリティがさらに強化され、スピーディで便利なうえに安全な決済手段となります。
  • ICチップ技術
    ICチップ内蔵の決済カードは、取引の安全性を向上させる超小型コンピュータを内蔵しているため、従来の磁気ストライプ型のカードに比べてより強力です。また、ICチップ技術搭載のカードは偽造が困難なため、不正使用の発生率は低下します。
  • リモート・ショッピングをより安全に
    Mastercardは、オンラインショッピングにOneSMART® Authenticationを提供しています。これはカードリーダーを使用してワンタイム・パスワードを生成し、極めて安全なインターネット・ショッピングを実現するチップベースのソリューションです。郵送や電話注文の決済、リモート・バンキング・決済処理でも、同じアプローチを採用できます。

加盟店の皆様ができる自衛策 その他のコンテンツ

非対面取引以外でも ―オンラインショッピングとカタログショッピング

Mastercard加盟店のセキュリティ対策――必須対策と推奨対策

Mastercard SecureCode®

加盟店とお客様のオンラインショッピングの安全性向上に向けて

Mastercard SDP(サイトデータプロテクション)プログラム

Mastercard SDP (サイトデータプロテクション)プログラムは、カード発行会社、アクワイアラ、加盟店、サービス・プロバイダー(サードパーティー・プロセッサやデータ保管事業者)がセキュリティ侵害の脅威を未然に防止できるよう開発・設計されたセキュリティ・コンプライアンスです

ATMを店舗に設置する場合

Mastercardビジネス・パートナーのセキュリティ対策――必須対策と推奨対策