# 日本のセキュリティチェックリスト

カード加盟店 (Stripe ユーザー) は、割賦販売法に基づき、一定レベルのセキュリティ対策を講じることが求められています。昨今、カードデータが不正に利用される事案が発生しているなか、業界団体である[クレジット取引セキュリティ対策協議会](https://www.j-credit.or.jp/security/safe/conference.html)は、オンラインでカード取引を行う日本の加盟店が実施すべき具体的な対策をまとめた**セキュリティチェックリスト**を公開しました。
Stripe を含む決済代行業者は、すべてのカード加盟店からセキュリティチェックリストに基づくセキュリティ対策措置状況申告書を回収することが義務付けられています。対象となる加盟店には、質問形式でチェックリストの項目が表示されます。各カード加盟店に求められる対策の詳細は、申告書の内容から確認できます。
詳細については、クレジットカード取引セキュリティ対策協議会が発行する[ガイドライン](https://www.j-credit.or.jp/security/document/index.html) (日本語) をご覧ください。
2026 年に向けセキュリティチェックリストの対象範囲が拡大されました。セキュリティチェックリストの申告に関してメールを受け取った加盟店は、下記の [2024 年 4 月 1 日以前にアカウント登録した既存ユーザー向けよくあるご質問](#april-1-2024) をご確認ください。
## よくあるご質問
### セキュリティ対策を導入する方法を教えてください。
決済の処理方法やウェブサイトの構築方法によってセキュリティ対策の導入手段が異なります。プラグインやサードパーティー先に委託して構築されている場合には、直接委託先にお問い合わせください。自社でセキュリティ対策を構築されている場合には、クレジット取引セキュリティ対策協議会が作成した[導入ガイド](https://d37ugbyn3rpeym.cloudfront.net/docs/japan/security-checklist-guide-2024.pdf)をご参考にしてください。
### サードパーティーにセキュリティ対策を委託している場合は、どうすればいいですか？
各セキュリティ対策を委託等によって対応している場合は、委託先等から入手した情報を元にご記入いただけます。その場合でも、質問への回答責任は加盟店にあります。
委託先や ASP カート事業者に関する情報を必ず記入してください。加盟店のウェブサイトの運営や、加盟店が導入しているセキュリティ対策にサードパーティーが関与している場合は、委託先の情報が必要です。
### 申告書、セキュリティチェックリストのデータや資料はベンダーやシステム会社に渡していいですか？
関係者に限り、お渡しいただいてかまいません。
### Stripe に代わりに答えてもらえませんか？
Stripe や他の決済代行業者は、各新規契約のカード加盟店からセキュリティチェックリストに基づく対策措置状況申告書を回収することを義務付けられています。Stripe が代わりに回答することはできませんが、Stripe のプロダクトを対応策として使える項目に関しては、回答案を提示しています。
### Stripe のプロダクトが対応策となる項目はありますか？
Stripe は、さまざまな要素やデータに基づいて、カードテスティングによるカードの有効性の確認可能回数を自動的に制限します。そのため、「5. 悪質な有効性確認、クレジットマスターへの対策」に関しましては、Stripe を利用した決済であれば、不正なカードテスティング (クレジットマスター) 対策として一覧に示されたセキュリティ対策を 1 つ以上実施しているとご回答いただけます。カードテスティングの被害を防ぐためのその他の対策方法については、[こちら](https://docs.stripe.com/disputes/prevention/card-testing)をご参照ください。
### 複数の Stripe アカウントを保持している場合、すべてのアカウントで回答する必要がありますか？
はい、各アカウントからの回答が必要となります。
### Stripe による決済は安全と考えていましたが、申告書の提出がなぜ必要なのですか？
Stripe や他の決済代行業者は、各新規契約のカード加盟店からセキュリティチェックリストに基づく対策措置状況申告書を回収することを義務付けられています。セキュリティチェックリストと関連する質問は、オンラインのクレジットカード取引をしっかりと安全に行えるようにするためのものです。これはクレジット業界の取り組みであり、Stripe に限ったことではありません。
### 一覧に示されている対策を導入せず、代替策によって同等のセキュリティレベルを確保できる場合は、どうしたらいいですか？
原則、加盟店様には、セキュリティチェックリストに記載された対策を求めています。しかしながら、同等または同等以上の対策を導入している場合、代替策を認める場合があります。申告書またはセキュリティチェックリストの選択肢に含まれてない代替策を導入されている場合は、どの項目への代替策であり、どのような代替策かの説明を記載したうえで、サポートにお問い合わせください。
## 新規ユーザー向けよくあるご質問
### セキュリティ対策をまだ構築していない場合はどうすればいいですか？
セキュリティ対策が未構築の場合は、クレジットカードの取り扱い開始時の対策状況を前提に質問に回答することができます。ただし、対策導入が完了していない段階でフォームを提出した場合は、セキュリティ対策の導入が完了するまではクレジットカードの取り扱いを控えるようお願いいたします。
### 申告書の提出後はどうなりますか？
オンラインでカード取引を受け付けることができるようになります。
## 契約後はセキュリティ対策を維持する必要がありますか？
はい、導入すると申告した対策を維持していただくことを期待しています。
### Payment Links や Stripe が提供するオンライン請求書を利用して決済を受け付ける場合も質問に回答する必要がありますか？
Payment Links または Stripe Invoicing を利用して決済を受け付けており、オンラインウェブサイトを通じて商品やサービスを販売していない場合 (例: メールのみで販売している場合) は、一部の質問にのみ回答が必要です。
### 申告書に記入しない場合、どうなりますか？
質問に回答しない場合、オンライン決済を受け付けることができません。
### 申告書を提出後、変更はできますか？
提出後の変更は、原則として受け付けていません。どの対策を導入するか決めるのに時間が必要な場合は、必要な情報が揃うまで回答の提出をお待ちください。今後導入予定の対策に基づいて回答を提出する場合は、その対策の導入が完了するまでオンラインでのカード決済を受け付けないでください。
## 2024 年 4 月 1 日以前にアカウント登録した既存ユーザー向けよくあるご質問
### 「2025 年 12 月 22 日までにセキュリティチェックリストへご対応ください」というメールが来ました。どういう意味ですか。提出しない場合どうなりますか。
現在のセキュリティ対策状況に基づいて、2025年 12 月 22 日までに申告書にご回答ください。対策がまだ実施されていない場合でも申告は可能ですが、将来的な実施が義務付けられます。具体的な期限については後日改めてご連絡いたします。
## 用語集
詳細については、[ガイドライン](https://www.j-credit.or.jp/security/document/index.html)をご参照ください。
* **ベーシック認証:** HTTP プロトコルにおける簡易的な認証方式で、ウェブサイトへのアクセスを制限する認証方法。ベーシック認証導入の際は、パスワード保護のため、データを暗号化して送受信する仕組みである HTTPS (TLS または SSL) も導入してください。
  \***脆弱性:** プログラムの不具合や設計上のミスが原因となって、発生したセキュリティ上の欠陥のこと。
  \***脆弱性診断**: システムに潜在的なリスクや脆弱性がないか評価すること。
* **ペネトレーションテスト:** 悪意のあるハッカーが使用する可能性のある特定の攻撃をシミュレーションし、それが成功するかどうかを検証するプロセス。
* **SQLインジェクション:** 不正な命令を含む文字列をデータベースに受け渡すことによって、データベースに保存されていたデータの取り出しや、不正なデータの書き込みを行う攻撃手法。
* **クロスサイトスクリプティング:** ウェブアプリケーションに悪意のあるスクリプト (簡易的なプログラム) を埋め込み、利用者がブラウザー内で操作を実行した際にその悪意のあるスクリプトを実行させる攻撃手法。
* **マルウェア:** コンピューターやその利用者に被害をもたらすことを目的とした、悪意のあるソフトウェアの総称。ウイルスはマルウェアの一種です。
* **[カードテスティング](https://docs.stripe.com/disputes/prevention/card-testing):** カード番号の採番の規則性を悪用して不正に生成した大量のカード番号等の有効性、またはフィッシングや漏洩により取得したカード番号の有効性を、オンラインサイトを介して確認し、有効なクレジットカード番号等を不正取得する攻撃手法。
* **スロットリング:** 一定の時間内に特定の操作に対して送信できるリクエストの数を制限するプロセス。