カード加盟店 (Stripe ユーザー) におけるセキュリティ対策は割賦販売法により一部義務化されています。昨今、カード会員データを不正に窃取される事案が発生しているなか、クレジット取引セキュリティ対策協議会では、新たに、オンラインでクレジットカードの取り扱いを行うカード加盟店に必要なセキュリティ対策の取り組みを示し、その対策措置状況の申告書の回収を求めることになりました。
Stripe を含む決済代行業者等 (PSP) は、新規契約のカード加盟店からセキュリティ・チェックリストに基づく対策措置状況申告書を回収する必要があります。各カード加盟店に求められる取り組みの詳細は、申告書の内容から確認ができます。対策措置が不十分だと見なされた場合、カード決済を受け入れることができません。
対策の詳細については、クレジット取引セキュリティ対策協議会が作成した「セキュリティ・チェックリスト - EC 加盟店における基本的なセキュリティ対策」をご確認ください。セキュリティ・チェックリストは、インターネット経由でクレジットカードの取り扱いを行う加盟店においての必要な取り組みを示し、当該加盟店におけるセキュリティ意識の向上と基本的なセキュリティ対策の強化、これによるカード会員データの漏えい及び不正利用の防止を目的として取りまとめられています。セキュリティ対策の実施による安全安心なクレジットカード取引環境の実現に向け、ご協力いただきますようお願いいたします。
システム未構築の場合は、各セキュリティ対策の項目について、クレジットカードの取扱い開始時の対策状況を前提に申告することが可能です。ただし、システムの構築が完了するまではクレジットカードの取扱いはしないようお願いいたします。
はい。新規加盟店契約時のみならず、契約後においても継続的に対策を維持することを前提にご申告ください。
メールリンク方式での決済 (Stripe Payment Links または Stripe Invoicing) を利用しており、オンラインサイト上に当該商品・サービスの掲載がない場合は、一部の質問のみに回答が必要です。
決済の受け付け方法やサイトの構築方法によってセキュリティ対策の導入手段が異なります。プラグインやサードパーティー先に委託して構築されている場合には、直接委託先にお問い合わせください。独自に開発されている場合には、クレジット取引セキュリティ対策協議会が作成した導入ガイドをご参考にしてください。
各セキュリティ対策を委託等によって対応している場合は、委託先等から入手した情報を元に記入していただけます。委託先や ASP カート事業者を利用していても、必ずチェック項目を記入する必要があります。
なお、委託先等の情報については、委託先情報欄に必要事項の記入を行ってください。委託先情報は、加盟店のサイト運営に携わり、セキュリティ対策を講じられる役割を委託先が担っている場合に記入してください。
関係者に限り、お渡しいただいてかまいません。
はい、オンラインで決済を行うために必須です。
各新規契約のカード加盟店からセキュリティ・チェックリストに基づく対策措置状況申告書を回収する必要があるため、Stripe が代わりに回答することはできません。Stripe の製品を対応策として使える項目に関しては、回答案を提示しています。
「5. 悪質な有効性確認、クレジットマスターへの対策」に関しましては、Stripe を利用した決済であれば、自動的に、カードテスティング (クレジットマスター) 対策として、多面的なデータに基づいたカードの有効性確認の回数制限が施されています。そのため、悪質な有効性確認、クレジットマスターに対して、セキュリティ・チェックリストに記載の対策を 1 つ以上実施しているとご回答いただけます。その他カードテスティングの被害を防ぐための方法については、こちらをご参照ください。
はい、各アカウントからの回答が必要となります。
現在は既存のアカウントから回答を収集していません。2025 年 4 月からは、新規のみならず全ての加盟店に対して申告書を回収することが求められており、その際に改めてご連絡させていただきます。
各新規契約のカード加盟店からセキュリティ・チェックリストに基づく対策措置状況申告書を回収する必要があるため、。これはクレジット業界の取り組みであり、Stripe に限ったことではありません。
申告書を提出しない場合、オンラインで決済を行うことができません。
変更は基本できません。各セキュリティ対策が定まり次第、ご回答をお願いします。定まり次第、システムが未構築の場合でもクレジットカードの取扱い開始時の対策状況を前提に申告することが可能です。ただし、システムの構築が完了するまではクレジットカードの取扱いはしないでください。
申告書を提出していただいた後、オンラインで決済を行うことができます。
原則、セキュリティ・チェックリストに記載された対策を加盟店に求めています。しかしながら、同等または同等以上の対策を導入している場合、代替策を認める場合があります。申告書またはセキュリティ・チェックリストの選択肢に含まれてない代替策を導入されている場合は、どの項目への代替策であり、どのような代替策かの説明を記載したうえで、サポートにお問い合わせください。
詳しくは、「セキュリティ・チェックリスト - EC 加盟店における基本的なセキュリティ対策」もご参考にしてください。