カード加盟店 (Stripe ユーザー) におけるセキュリティ対策は割賦販売法により一部義務化されています。昨今、カード会員データを不正に窃取される事案が発生しているなか、クレジット取引セキュリティ対策協議会では、新たに、オンラインでクレジットカードの取り扱いを行うカード加盟店に必要なセキュリティ対策の取り組みを示し、その対策措置状況の申告書の回収を求めることになりました。

Stripe を含む決済代行業者等 (PSP) は、新規契約のカード加盟店からセキュリティ・チェックリストに基づく対策措置状況申告書を回収する必要があります。各カード加盟店に求められる取り組みの詳細は、申告書の内容から確認ができます。対策措置が不十分だと見なされた場合、カード決済を受け入れることができません。

対策の詳細については、クレジット取引セキュリティ対策協議会が作成した「セキュリティ・チェックリスト - EC 加盟店における基本的なセキュリティ対策」をご確認ください。セキュリティ・チェックリストは、インターネット経由でクレジットカードの取り扱いを行う加盟店においての必要な取り組みを示し、当該加盟店におけるセキュリティ意識の向上と基本的なセキュリティ対策の強化、これによるカード会員データの漏えい及び不正利用の防止を目的として取りまとめられています。セキュリティ対策の実施による安全安心なクレジットカード取引環境の実現に向け、ご協力いただきますようお願いいたします。

よくあるご質問

システムをまだ構築してない場合はどうすればいいですか？

システム未構築の場合は、各セキュリティ対策の項目について、クレジットカードの取扱い開始時の対策状況を前提に申告することが可能です。ただし、システムの構築が完了するまではクレジットカードの取扱いはしないようお願いいたします。

契約後は対策を維持する必要がありますか？

はい。新規加盟店契約時のみならず、契約後においても継続的に対策を維持することを前提にご申告ください。

メールリンク方式での決済を利用している場合、対象外ですか？

メールリンク方式での決済 (Stripe Payment Links または Stripe Invoicing) を利用しており、オンラインサイト上に当該商品・サービスの掲載がない場合は、一部の質問のみに回答が必要です。

対策はどのように導入できますか？

決済の受け付け方法やサイトの構築方法によってセキュリティ対策の導入手段が異なります。プラグインやサードパーティー先に委託して構築されている場合には、直接委託先にお問い合わせください。独自に開発されている場合には、クレジット取引セキュリティ対策協議会が作成した導入ガイドをご参考にしてください。

サードパーティーを通して Stripe を利用している場合など、対策を委託している場合は、どうすればいいですか？

各セキュリティ対策を委託等によって対応している場合は、委託先等から入手した情報を元に記入していただけます。委託先や ASP カート事業者を利用していても、必ずチェック項目を記入する必要があります。

なお、委託先等の情報については、委託先情報欄に必要事項の記入を行ってください。委託先情報は、加盟店のサイト運営に携わり、セキュリティ対策を講じられる役割を委託先が担っている場合に記入してください。

申告書、セキュリティ・チェックリストのデータや資料はベンダー、システム会社に渡していいですか？

関係者に限り、お渡しいただいてかまいません。

申告書の記入は必須ですか？

はい、オンラインで決済を行うために必須です。

Stripe に代わりに答えてもらえませんか？

各新規契約のカード加盟店からセキュリティ・チェックリストに基づく対策措置状況申告書を回収する必要があるため、Stripe が代わりに回答することはできません。Stripe の製品を対応策として使える項目に関しては、回答案を提示しています。

Stripe の製品が対応策となる項目はありますか？

「5. 悪質な有効性確認、クレジットマスターへの対策」に関しましては、Stripe を利用した決済であれば、自動的に、カードテスティング (クレジットマスター) 対策として、多面的なデータに基づいたカードの有効性確認の回数制限が施されています。そのため、悪質な有効性確認、クレジットマスターに対して、セキュリティ・チェックリストに記載の対策を 1 つ以上実施しているとご回答いただけます。その他カードテスティングの被害を防ぐための方法については、こちらをご参照ください。

複数の Stripe アカウントを保持している場合、全てのアカウントで回答する必要がありますか？

はい、各アカウントからの回答が必要となります。

既存の Stripe アカウントに影響はありますか？

現在は既存のアカウントから回答を収集していません。2025 年 4 月からは、新規のみならず全ての加盟店に対して申告書を回収することが求められており、その際に改めてご連絡させていただきます。

Stripe による決済は安全と考えていましたが、何故申告書の記入が必要ですか？

各新規契約のカード加盟店からセキュリティ・チェックリストに基づく対策措置状況申告書を回収する必要があるため、。これはクレジット業界の取り組みであり、Stripe に限ったことではありません。

申告書に記入しない場合、どうなりますか？

申告書を提出しない場合、オンラインで決済を行うことができません。

申告書に記入後、変更はできますか？

変更は基本できません。各セキュリティ対策が定まり次第、ご回答をお願いします。定まり次第、システムが未構築の場合でもクレジットカードの取扱い開始時の対策状況を前提に申告することが可能です。ただし、システムの構築が完了するまではクレジットカードの取扱いはしないでください。

申告書に記入後、何が起きるのですか？

申告書を提出していただいた後、オンラインで決済を行うことができます。

求められている対策の代わりとなる代替策を導入している場合、どうしたらいいですか？

原則、セキュリティ・チェックリストに記載された対策を加盟店に求めています。しかしながら、同等または同等以上の対策を導入している場合、代替策を認める場合があります。申告書またはセキュリティ・チェックリストの選択肢に含まれてない代替策を導入されている場合は、どの項目への代替策であり、どのような代替策かの説明を記載したうえで、サポートにお問い合わせください。

用語集

詳しくは、「セキュリティ・チェックリスト - EC 加盟店における基本的なセキュリティ対策」もご参考にしてください。

• ベーシック認証: HTTP 上の簡易的な認証方式で、Web サイトにアクセス制限をかける認証方法。ベーシック認証のご導入の際、パスワードの保護のため、インターネット上でデータを暗号化して送受信する仕組みである HTTPS (TLS または SSL) もご導入ください。
• 脆弱性: プログラムの不具合や設計上のミスが原因となって、発生したセキュリティ上の欠陥のこと。
• 脆弱性診断: システム全体に対して諸リスクの所在や脆弱性がないかの診断をすること。
• ペネトレーションテスト: 悪意のある攻撃者が意図する特定の攻撃を想定し、それが成功するか否かを検証すること。
• SQL インジェクション: 不正な命令を含む文字列をデータベースに受け渡すことによって、データベースに保存されていたデータの取り出しや、不正なデータの書き込みを行う攻撃手法。
• クロスサイト・スクリプティング: Web アプリケーションに悪意のあるスクリプト (簡易的なプログラム) を埋め込み、利用者がブラウザ上の処理をした際に不正なスクリプトを実行させる攻撃手法。
• マルウェア: コンピューターやその利用者に被害をもたらすことを目的とした、悪意のあるソフトウェアの総称。ウイルスはマルウェアの一種です。
• カードテスティング (クレジットマスター): カード番号の採番の規則性を悪用して機械的に生成した大量のカード番号等の有効性、またはフィッシングや漏洩により取得したカード番号の有効性を、オンラインサイトを介して確認し、有効なクレジットカード番号等を不正取得する攻撃手法。
• スロットリング: 一定の時間内に特定の操作に対して送信できるリクエストの数を制限するプロセス。