概要

金融系の知識を勉強する。

関連省庁/業界団体

FISC

金融情報システムセンター。 The Center for Financial Industry Information Systems。 FISCの活動の基本となるのは、金融情報システムに関連する諸問題(技術、利活用、管理態勢、脅威と防衛策等)の国内外における現状、課題、将来への発展性とそのための方策等についての調査研究。

file

NISC

内閣サイバーセキュリティセンター。 National center of Incident readiness and Strategy for Cybersecurity。 NISCの主な所掌事務は、サイバーセキュリティ戦略本部の事務局としての役割のほか、行政各部の情報システムに対する不正な活動の監視・分析やサイバーセキュリティの確保に関し必要な助言、情報の提供その他の援助、監査等を行うとともに、サイバーセキュリティの確保に関する総合調整役を担っている。

金融庁(FSA

銀行など金融業者を所管する(一部、財務局に事務委託する場合もある)。 https://www.fsa.go.jp/menkyo/menkyo.html

金融ISAC

金融ISACは、日本の金融機関の間でサイバーセキュリティに関する情報の共有・分析、及び安全性の向上のための協働活動を行い、金融サービス利用者の安心・安全を継続的に確保することを目的としている。

財務局

金融庁から事務委託を受け、金融業者を所管する。 例とえば、クレジットカード会社など(貸金業者)は財務局が所管する。 https://www.fsa.go.jp/menkyo/menkyoj/kasi.pdf 例:PayPayカード株式会社の所管は、関東財務局である。

日本クレジット協会

金融事業

暗号資産交換業

暗号資産交換業とは、暗号資産の売買、ほかの暗号資産との交換、売買交換の媒介取次代替、暗号資産の管理などを行う事業。

資金移動業

資金移動業とは、銀行等預金取扱金融機関以外の者が為替取引を業として行うこと。

  • 資金移動の形態による分類

    • 営業店型 営業店型は店舗で送金し、別の店舗で受け取る形態。

    • インターネット・モバイル型 インターネット・モバイル型はPayPayやLINE Payなど、インターネット上のアカウントを通じて入金と受取をする形態。

    • カード・証書型 カード型はアカウントに送金して、カードで引き出す形態。

  • 2021年施行の改正資金決済法で類型化
    • 第一種資金移動業者 認可制で送金額の上限がありません。
    • 第二種資金移動業者 登録制で100万円以下の送金が可能。
    • 第三種資金移動業者 登録制で、5万円以下の送金が可能。

資金清算業

資金清算業とは、為替取引に関わる債権債務を精算するために、銀行等の間で生じた為替取引に基づく債務を精算する業務。 免許制だが、現在では「全銀ネット」(全国銀行資金決済ネットワーク)が唯一の資金精算機関。

前払式支払手段の発行業

前払式支払手段とは、商品・サービスの代価の弁済等に使用されるものであって、発行者に対してあらかじめ対価を支払うことによって発行される支払手段をいい、発行形態は、「紙型(商品券、ギフトカード等)」、「磁気型(テレホンカード)」、「IC型(交通系ICカードなど)」、「サーバ型(Amazonギフト券など)」がある。

関連法律

改正資金決済法(参考

2022年6月3日に成立し、同月10日に公布された法律(正式には「安定的かつ効率的な資金決済制度の構築を図るための資金決済に関する法律等の一部を改正する法律」)。

銀行法

資金決済法

2010年4月に施行された。

犯罪収益移転防止法(「犯収法)

割賦販売法

日本の消費者保護法の一つで、商品やサービスを分割払いで購入する際の消費者保護を定めた法律。

割賦販売契約の際には、消費者に対して適切な説明が必要であり、消費者が契約内容を正確に理解した上で契約を締結できるようにするための措置が定められています。また、借り入れ金利の制限、分割払いの回数制限、分割払いの遅延損害金の上限なども定められている。

割賦販売法は、消費者が無理な借入や過剰な負担を抱えることを防止し、消費者保護の観点から重要な法律。

各事業者(参考資料

  • 1号事業者;クレジットカード等購入あっせん業者(イシュアー)。
  • 2号事業者:カード加盟店。
  • 3号事業者:立替払取次業者(アクワイアラー)。
  • 4号事業者:決済代行業者。

    アクワイアラーから交付を受けた代金相当額(立替金)を加盟店に交付する事業者を指す。

  • 5号事業者:QRコード等決済事業者等。

    カード情報と紐づけた他の決済用番号で決済を行う事業者。

  • 6号事業者:5号事業者から受託した事業者。
  • 7号事業者:加盟店向け決済システム提供事業者。

重要な取組方針

安全基準

IPA

FISC安全対策基準

正式名称:金融機関等コンピュータシステムの安全対策基準・解説書(2022年12月改訂) 通称:FISC安対

金融システムの導入や運用に関するガイドラインのこと。300近い項目から成り、セキュリティーに関わる考え方から安全管理措置や具体的な対策の例示まで幅広い。

一般公開資料

API接続チェックリスト<2018年10月版>

https://www.fisc.or.jp/document/public/003107.php

クレジットカード業界

PCI DSS 4.0

Payment Card Industry Data Security Standard。 カード情報を取り扱う全ての事業者に対して国際ブランド(VISA、Mastercard、JCB、American Express、Discover)が共同で策定したデータセキュリティの国際基 準。 安全なネットワークの構築やカード会員データの保護等、12 の要件に基づいて約 400の要求事項から構成されている。

PCI DSS Ver4.0公開(英語版は2022/3、日本語版は2022/5)後2年間は「Ver3.2.1」と並行期間となるが、PCI DSS に準拠している事業者は 2024/3月末までに「Ver4.0」へ移行完了が必要。

  • PCI DSS v3.2.1の終了日付 2024年3月31日。

  • PCI DSS v4.0ドキュメント https://www.pcisecuritystandards.org/document_library/

  • PCI DSS v4.0の特徴

    • リスクベースの考え方の取り込み
    • 昨今のクレジットカード情報漏洩の傾向を踏まえた新要件の追加
    • 既存要件で求められる対策の更なる強化

クレジットカード・セキュリティガイドライン 4.0版

日本クレジット協会 PDF資料

非保持化

加盟店におけるカード情報保護対策の一つ。自社で保有する機器・NWにおいて「カード情報」を「保存」、「処理」、「通 過」しないこと。 PCI-DSS準拠とイコールではないものの、カード情報保護という観点では同等の効果があるものと認められる。 以下①~③の状態でカード情報を保存する場合には、「保持」とはならない

①紙(クレジット取引伝票、カード番号を記した FAX、申込書、メモ等) ②紙媒体をスキャンした画像データ ③電話での通話記録(音声データを含む)

非保持化を達成しても業務の都合等によりPSP等から別途カード情報の還元を受けて保持する場合には「非保持」とはならず、PCI DSSに準拠しなければならない。

  • 方策(非通過型)
    • リダイレクト(リンク)型 PSP(Payment Service Provider)の決済画面に遷移させカード決済を行う方式。
    • JavaScript型(トークン型) 加盟店の決済画面にPSPが提供するJavaScriptプロ グラムを組み込んで利用し、決済を行う方式。

非保持化を達成しても業務の都合等により PSP 等から 別途カード情報の還元を受けて保持する場合には「非保持」とはならず、PCI DSS に準拠しなければならない。

不正対策

  • 本人確認方法としての「サイン」 取得は2025年3月を目途に加盟店の任意とし、取得しないことを推奨する。なお、「サイン」を取得する場合においても売上票に記載されたサインとの同一性確認は必須とはしない。

  • 被害状況
    • 2021年のクレカ不正利用被害額は約330億円(9割が番号盗用による被害)
    • 原因分析
      • EC加盟店からの情報漏洩。
      • フィッシング被害によるカード番号やPWの漏洩。
      • クレジットマスターの手口による不正利用。

  • 不正顕在化加盟店 カード会社(アクワイアラー)各社が把握する不正利用金額が「3ヵ月連続50万円超」に該当するEC加盟店。

  • 大量かつ連続する不正アタックへの対応
    • CAPTCHA認証

Glossaries(用語集)

  • 3Dセキュア EC 加盟店における非対面不正利用防止のための本人認証手法の一つ。利用者がカード会員本人であることを確認する仕組みであり、カード会員に本人のみ が知る情報を入力させることなどにより、本人認証を行う。
    • 3Dセキュア1.0  カード利用者が事前にカード発行会社に専用パスワードを登録し、決済時に本人認証画面にパスワードを入力し認証する仕組み(2022年10月に完全廃止)。
    • 3Dセキュア2.0 正式名称は「EMV 3Dセキュア」(EMVはEuropay International・Mastercard・VISAの頭文字)、特徴
      • リスクベース認証が可能に
      • ECサイトのスマホアプリからの決済も対象となる
      • ワンタイムパスワードや生体認証が使える
      • クレカ登録等、非決済分野での利用が可能

      2025年3月までにすべてのEC事業者の導入必須。

  • AML/CFT Anti Money Laundering/ Countering the Financing of Terrorism の略、「マネー・ローンダリング及びテロ資金供与対策」を意味する。

  • CAPTCHA 認証 画像認証とも言う。デバイス上に表示された文字や数字を入力することで、操作している者が人間かロボットかを判別する仕組み。

  • CCT(Credit Center Terminal) 決済専用端末(イオンとかでカード決済する時の端末)。

  • Cold Wallet(コールドウォレット) インターネットに接続されていない環境で仮想通貨を保管するウォレットのこと(別名コールド・ストレージ)。

  • CVMリミット金額 カード会社が定める本人確認を不要とする上限額。

  • Delta Wall サイバーセキュリティ演習。下記過去資料

  • DUKPT Derived Unique Key Per Transaction。トランザクションごとにデータの暗号鍵が異なる暗号鍵管理の仕組み。

  • EMVカーネル ICカードに組み込まれたEMV決済プロトコルの中核部分であり、カードの取引処理に関する基本的な機能を提供するソフトウェアのこと。

  • FATF Financial Action Task Force on Money Laundering マネーロンダリングに関する金融活動作業部会

  • Hot Wallet(ホットウォレット) インターネットに仮想通貨を管理するウォレットのこと(別名ホット・ストレージ)、例えば仮想通貨取引所や、MetaMaskなど。
    • ウェブウォレット(Cloud上に保管)
    • モバイルウォレット(モバイルAPPに保管)
    • デスクトップウォレット(PCアプリに保管、別名クライアントウォレット)
  • IC(Integrated Circuit)
    • IC化 クレカにICチップ(カード情報が暗号化して格納される)を組み込むこと。
    • IC対応 加盟店に設置するクレカ決済端末にICチップ読取機能を持たせること。
    • IC取引 ICカードを、加盟店に設置されたICチップ読取機能を持ったカード決済端末で処理する取引。

  • MetaMask Cryptocurrency Walletの1種で、Ethereum(イーサリアム)系ブロックチェーンの通貨やNFT(非代替性トークン)を一括で補完・管理できるソフトウェアウォレットである。

  • NFT 非代替性トークン(ひだいたいせいトークン、英: non-fungible token、略称: NFT)とは、ブロックチェーン上に記録される一意で代替不可能なデータ単位である。

  • PIN(Personal Identification Number)
    • PINパッド IC取引に必要なPIN(暗証番号)を入力するためのパッド。
    • オフラインPIN IC対応決済端末に ICカードが読み込まれ、カード会員が入力した数字と、カードのICチップ内に記録されたPINとを照合するもの。
    • オンラインPIN オンラインNWを経由してカード会社(イシュアー)のシステム上で照合するPINのこと。
    • PINバイパス IC取引においてカード会員のPIN失念への一時的な救済措置が可能となるようPIN入力スキップ機能のこと。2025年3月をもって原則廃止する。

  • 暗号資産 以前は「仮想通貨」で、2020年に施行された改正資金決済法では「暗号資産」に名称変更。暗号資産とは、物品の購入やサービスの提供を受けた弁済のための支払い手段として活用できる財産的価値のうち、日本の通貨、外国の通貨、ならびに通貨建て資産は除くものと定義されている。

  • カード会員データ クレジットカード番号、クレジットカード会員名、サービスコード、有効期限で構成されるデータをいう。

  • カード情報 カード会員データ、及び機密認証データ(カード情報を含む全トラックデータ、CAV2/CVC2/CVV2/CIDいわゆるセキュリティコード、PIN又は PINブロック)をいう。

  • 為替取引 2001/3/12の最高裁での判例で、「顧客から隔地者間で直接現金を輸送せずに、資金を移動する仕組みを利用して、資金を移動とすることを内容とする依頼を受け、これを引き受けること、またはこれを引き受けて遂行すること」。

  • クレジットマスター クレカ番号の採番の規則性を悪用して機械的に生成した大量のクレカ番号等の有効性を、ECサイトを介して確認し、有効なクレカ番号等を不正利用する手口。

  • ステーブルコイン(Stable Coin) 特定の資産と関連して価値の安定を目的とするデジタルアセットで、分散台帳技術、またはこれと類似の技術を用いているもの。

  • チャージバック クレカの不正利用が起こったときに、カード会社が店舗に対して売上金額の返金請求をすること。その場合は、カード会社から入金された売上金額を返金するが、発送済みの商品は戻らないため、店舗側の損失となる。