カード加盟店 (Stripe ユーザー) におけるセキュリティ対策は割賦販売法により一部義務化されています。昨今、カード会員データを不正に窃取される事案が発生しているなか、業界団体であるクレジット取引セキュリティ対策協議会は、オンラインでクレジットカード取引を行うカード加盟店が実施すべき具体的なセキュリティ対策をまとめた「セキュリティ・チェックリスト」を公開しました。

Stripe を含む決済サービスプロバイダー (PSP) は、新規契約のカード加盟店からセキュリティ・チェックリストに基づくセキュリティ対策措置状況申告書を回収することが義務付けられています。対象となる加盟店には、加盟店契約時を完了する前に、質問形式でチェックリストの項目が表示されます。各カード加盟店に求められる対策の詳細は、申告書の内容から確認できます。対策措置が不十分だと見なされた場合、カード決済を受け入れることができません。

対策の詳細については、クレジット取引セキュリティ対策協議会が作成した「セキュリティ・チェックリスト - EC 加盟店における基本的なセキュリティ対策」をご確認ください。セキュリティ・チェックリストは、インターネット経由でクレジットカードの取り扱いを行う加盟店においての必要な取り組みを示し、当該加盟店におけるセキュリティ意識の向上と基本的なセキュリティ対策の強化、これによるカード会員データの漏えい及び不正利用の防止を目的として取りまとめられています。セキュリティ対策の実施による安全安心なクレジットカード取引環境の実現に向け、ご協力いただきますようお願いいたします。

よくあるご質問

セキュリティ対策をまだ構築していない場合はどうすればいいですか？

セキュリティ対策未構築の場合は、各セキュリティ対策の項目について、クレジットカードの取扱い開始時の対策状況を前提に申告することが可能です。ただし、対策導入が完了していない段階で申告書を提出した場合は、セキュリティ対策の導入が完了するまではクレジットカードの取扱いはしないようお願いいたします。

契約後は対策を維持する必要がありますか？

はい。新規加盟店契約時のみならず、契約後においても継続的に対策を維持することを前提にご申告ください。

Payment Links や Stripe が提供するオンライン請求書を利用して決済を受け付ける場合も質問に回答する必要がありますか？

決済の受け付けに Stripe Payment Links または Stripe Invoicing を利用していて、オンラインサイト上に当該商品やサービスの掲載がない場合は、一部の質問のみに回答が必要です。

セキュリティ対策を導入する方法を教えてください。

決済の処理方法やウェブサイトの構築方法によってセキュリティ対策の導入手段が異なります。プラグインやサードパーティー先に委託して構築されている場合には、直接委託先にお問い合わせください。自社でセキュリティ対策を構築されている場合には、クレジット取引セキュリティ対策協議会が作成した導入ガイドをご参考にしてください。

サードパーティーにセキュリティ対策を委託している場合は、どうすればいいですか？

各セキュリティ対策を委託等によって対応している場合は、委託先等から入手した情報を元にご記入いただけます。その場合でも、質問への回答責任は加盟店にあります。

委託先や ASP カート事業者に関する情報を必ず記入してください。加盟店のウェブサイトの運営や、加盟店が導入しているセキュリティ対策にサードパーティーが関与している場合は、委託先の情報が必要です。

申告書、セキュリティ・チェックリストのデータや資料はベンダーやシステム会社に渡していいですか？

関係者に限り、お渡しいただいてかまいません。

申告書の記入は必須ですか？

はい、オンラインでクレジットカード決済を行うために必須です。

Stripe に代わりに答えてもらえませんか？

Stripe や他の PSP は、各新規契約のカード加盟店からセキュリティ・チェックリストに基づく対策措置状況申告書を回収することを義務付けられています。Stripe が代わりに回答することはできませんが、Stripe のプロダクトを対応策として使える項目に関しては、回答案を提示しています。

Stripe のプロダクトが対応策となる項目はありますか？

Stripe は、さまざまな要素やデータに基づいて、カードテスティングによるカードの有効性の確認可能回数を自動的に制限します。そのため、「5. 悪質な有効性確認、クレジットマスターへの対策」に関しましては、Stripe を利用した決済であれば、不正なカードテスティング (クレジットマスター) 対策として一覧に示されたセキュリティ対策を 1 つ以上実施しているとご回答いただけます。カードテスティングの被害を防ぐためのその他の対策方法については、こちらをご参照ください。

複数の Stripe アカウントを保持している場合、すべてのアカウントで回答する必要がありますか？

はい、各アカウントからの回答が必要となります。

既存の Stripe アカウントに影響はありますか？

現在は既存の Stripe アカウントから回答を収集していません。状況の進展を見守っていますので、既存のアカウントからの回答が必要になった場合は、改めてお知らせいたします。

Stripe による決済は安全と考えていましたが、申告書の提出がなぜ必要なのですか？

Stripe や他の PSP は、各新規契約のカード加盟店からセキュリティ・チェックリストに基づく対策措置状況申告書を回収することを義務付けられています。セキュリティ・チェックリストと関連する質問は、オンラインのクレジットカード取引をしっかりと安全に行えるようにするためのものです。これはクレジット業界の取り組みであり、Stripe に限ったことではありません。

申告書に記入しない場合、どうなりますか？

申告書を提出しない場合、オンラインで決済を行うことができません。

申告書を提出後、変更はできますか？

提出後の変更は、原則として受け付けていません。どの対策を導入するか決めるのに時間が必要な場合は、必要な情報が揃うまで提出をお待ちください。今後導入予定の対策に基づいて回答を提出する場合は、その対策の導入が完了するまでオンラインでのカード決済を受け付けないでください。

申告書の提出後はどうなりますか？

申告書を提出していただいた後、オンラインでカード決済を行うことができます。

一覧に示されている対策を導入するのではなく、同等の代替策を導入している場合、どうしたらいいですか？

原則、加盟店様には、セキュリティ・チェックリストに記載された対策を求めています。しかしながら、同等または同等以上の対策を導入している場合、代替策を認める場合があります。申告書またはセキュリティ・チェックリストの選択肢に含まれてない代替策を導入されている場合は、どの項目への代替策であり、どのような代替策かの説明を記載したうえで、サポートにお問い合わせください。

用語集

詳しくは、「セキュリティ・チェックリスト - EC 加盟店における基本的なセキュリティ対策」もご参考にしてください。

• ベーシック認証: HTTP プロトコルにおける簡易的な認証方式で、ウェブサイトにアクセス制限をかける認証方法。ベーシック認証導入の際は、パスワードの保護のため、データを暗号化して送受信する仕組みである HTTPS (TLS または SSL) もご導入ください。
• 脆弱性: プログラムの不具合や設計上のミスが原因となって、発生したセキュリティ上の欠陥のこと。
• 脆弱性診断: システムに潜在的なリスクや脆弱性がないか評価すること。
• ペネトレーションテスト: 悪意のあるハッカーが使用する可能性のある特定の攻撃をシミュレーションし、それが成功するかどうかを検証するプロセス。
• SQL インジェクション: 不正な命令を含む文字列をデータベースに受け渡すことによって、データベースに保存されていたデータの取り出しや、不正なデータの書き込みを行う攻撃手法。
• クロスサイト・スクリプティング: ウェブアプリケーションに悪意のあるスクリプト (簡易的なプログラム) を埋め込み、利用者がブラウザー内で操作を実行した際にその悪意のあるスクリプトを実行させる攻撃手法。
• マルウェア： コンピューターやその利用者に被害をもたらすことを目的とした、悪意のあるソフトウェアの総称。ウイルスはマルウェアの一種です。
• カードテスティング: カード番号の採番の規則性を悪用して不正に生成した大量のカード番号等の有効性、またはフィッシングや漏洩により取得したカード番号の有効性を、オンラインサイトを介して確認し、有効なクレジットカード番号等を不正取得する攻撃手法。
• スロットリング: 一定の時間内に特定の操作に対して送信できるリクエストの数を制限するプロセス。