Japan card security and authentication controls
#payments#credit-card#security#EMV-3DS#PCI-DSS#PSP
目次
Overview
日本の EC カードセキュリティは「3-D Secure」だけではない。有用な統制スタックは次のとおり:カードデータ保護 → 加盟店の脆弱性統制 → EMV 3-D Secure 認証 → 不正監視 → アクワイアラ/PSP/加盟店の情報共有 → チャージバックと是正。
このページは 日本のカード発行会社、アクワイアラー、プロセッサーの分担、日本のカード加盟店管理スタック、PSP 決済 risk、日本の信用購入・カード事業者登録インデックス、割賦販売法 2020 改正 と併せて使うこと。
Guideline Snapshot
| Version / route | Public-source role | Wiki reading |
|---|---|---|
| METI 2025-03-05 release | クレジットカードセキュリティガイドラインの改訂を公表。 | EC 加盟店のセキュリティ強化に関する公的政策アンカー。 |
| Japan Credit Association guideline 6.1 | カードセキュリティ統制に関する現行の主要な公的ガイドラインソース。 | 非保持、EC セキュリティ、EMV 3-D Secure、不正統制の語彙に使用。 |
| PCI DSS | 国際的なカードデータセキュリティ標準。 | カード会員データ環境および加盟店/PSP のセキュリティ統制に使用。 |
| EMV 3-D Secure | 認証プロトコル/メッセージング標準。 | リスクベース認証とチャレンジフロー分析に使用。 |
| JCB 加盟店 / brand pages | イシュア、アクワイアラ、ブランド、加盟店、認証の各役割の平易なモデル。 | すべての当事者を「カード会社」に一括りにすることを切り分けるために使用。 |
Actor And Responsibility Map
| Actor | Japanese / market term | Core responsibility | Security artifact |
|---|---|---|---|
| 発行会社 | イシュア / カード発行会社 | カード会員の審査、オーソリゼーション、ACS/認証判断、請求、不正監視。 | オーソリゼーションログ、ACS 結果、カード会員の異議申立/不正監視。 |
| Card brand / network | 国際ブランド / ブランド | ネットワークルール、ディレクトリルーティング、ブランドセキュリティルール、相互運用性。 | スキームルール、ディレクトリサーバルーティング、ブランドコンプライアンス。 |
| アクワイアラ | アクワイアラ / 加盟店契約会社 | 加盟店の引受審査、加盟店契約、決済、チャージバックルーティング。 | 加盟店のデューデリジェンス、セキュリティ状況、チャージバック監視。 |
| PSP / gateway | 決済代行 / PSP | 決済ページ、トークン化、3DS Server 連携、取引データ、消込。 | トークン化設計、3DS 取引ログ、不正フィルタ。 |
| 加盟店 | EC 加盟店 | サイトセキュリティ、顧客認証 UX、配送/返金統制、証跡保持。 | 脆弱性統制、注文ログ、配送/返金証跡。 |
| 3DS Server / DS / ACS | 3-D Secure components | データ転送、ディレクトリルーティング、イシュア認証、チャレンジ/フリクションレスフロー。 | AReq / ARes / チャレンジ結果、ECI / CAVV スタイルの認証データ。 |
Control Stack
| Layer | Threat | Control objective | Primary owner | Secondary owner |
|---|---|---|---|---|
| Card-data protection | カード会員データの漏洩。 | 可能な限りカードデータを保存しない;PCI スコープを統制下に保つ。 | 加盟店 / PSP | アクワイアラ |
| Tokenization / non-retention | 生のカードデータの露出。 | カードデータの取り扱いをトークン/リダイレクト/JavaScript トークンモデルに置き換える。 | PSP | 加盟店 |
| 加盟店 vulnerability control | EC サイトの侵害、フォームジャッキング、アカウント乗っ取り。 | EC サイト、プラグイン、管理者アカウント、決済ページを堅牢に保つ。 | 加盟店 | PSP / EC system provider |
| EMV 3-D Secure | 不正なカード非提示利用。 | リスクベースのイシュア認証とチャレンジフローを追加する。 | 発行会社 / ACS | 加盟店 / PSP / brand |
| Fraud monitoring | クレジットマスター/BIN 攻撃、異常な注文パターン、転送詐欺。 | 疑わしい取引と配送を検知し阻止する。 | 発行会社 / アクワイアラ / PSP | 加盟店 |
| Chargeback / dispute | 損失配分と証跡の不備。 | 注文、認証、配送、返金、コミュニケーションの証跡を保全する。 | アクワイアラ / 加盟店 | 発行会社 / PSP |
EMV 3-D Secure Route
| Step | Component | Research question |
|---|---|---|
| Checkout | 加盟店 / PSP | リスクベース認証に十分なほど取引データは完全か? |
| 3DS request | 3DS Server | PSP または加盟店は 3DS Server を正しく連携しているか? |
| Directory routing | Directory Server | どのブランド/カードルートが認証要求を受け取るか? |
| 発行会社 decision | ACS / 発行会社 | フローはフリクションレス、チャレンジ、拒否、または利用不可のいずれか? |
| Authorization | 発行会社 / アクワイアラ | 認証結果とオーソリゼーション結果はどのように組み合わされるか? |
| Dispute / liability | 発行会社 / アクワイアラ / 加盟店 | 認証結果は実際に責任を変えるのか、それとも証跡を追加するだけか? |
3-D Secure はカード非提示の不正リスクを低減するが、加盟店審査、カードデータ保護、アカウント乗っ取り統制、配送統制、チャージバック証跡を置き換えるものではない。だからこそこのページは、プロトコルのみの注記としてではなく PSP 決済 risk とリンクされている。
Non-retention, Tokenization, And PCI DSS
| Integration pattern | Card-data exposure | Wiki reading |
|---|---|---|
| Redirect payment page | 加盟店が PSP/アクワイアラのホスト型ページにリダイレクトする。 | 正しく実装されれば加盟店のカードデータ露出はより低い。 |
| JavaScript token model | カードデータがブラウザから PSP/トークン化エンドポイントへ送られる。 | ページ侵害がスクリプトを改変しうるため、加盟店は依然としてサイトセキュリティ統制が必要。 |
| Server-side card handling | 加盟店サーバがカードデータを受け取る。 | PCI および運用上の負担が最も高い;準拠と記述する前に強固な証跡が必要。 |
| Stored credential / recurring billing | 後続の決済にトークンまたはオンファイルクレデンシャルを使用する。 | 同意、ライフサイクル、解約、不正監視の統制が必要。 |
EC 加盟店 Fraud Controls
| Pattern | Control |
|---|---|
| Credit master / BIN attack | レート制限、オーソリゼーションパターン監視、イシュア/アクワイアラのアラート、決済ページ統制。 |
| Account takeover | ログイン保護、デバイス/挙動監視、ステップアップ認証、パスワードリセット監視。 |
| High-risk delivery | 住所/配送変更の監視、配送保留、手動レビュー、解約/返金統制。 |
| Refund abuse | 返金承認ワークフロー、決済消込、加盟店ダッシュボードの権限統制。 |
| Site compromise | 脆弱性スキャン、パッチ適用、スクリプト完全性チェック、管理者 MFA、インシデント対応。 |
JapanFG Relevance
カードセキュリティ分析は、単一の「クレジットカード会社」というラベルではなく、イシュア/アクワイアラ/PSP の役割を経由してルーティングされる:
- 発行会社 / アクワイアラ: JCB、SMBC Card、MUFG NICOS、Rakuten Card、PayPay Card、イオンフィナンシャルサービス (AEON Financial Service)、Orico、JACCS、クレディセゾン (Credit Saison)。
- PSP / gateway: GMO ペイメントゲートウェイ、GMO Epsilon、SBペイメントサービス (SB Payment Service)、DGFT、Netstars。
- Legal / registry layer: 日本の信用購入・カード事業者登録インデックス および 金融免許。
Red Flags For Wiki Research
- ある情報源が「カード会社」と言っているが、それがイシュア、アクワイアラ、ブランド、プロセッサ、PSP のいずれを意味するかを述べていない。
- 加盟店が 3-D Secure 対応を主張しているが、脆弱性統制、トークン化、不正対応運用の証跡がない。
- PSP がトークン化を主張しているが、侵害されたスクリプトを通じて加盟店ページが依然としてカードデータを露出しうる。
- 不正指標が分母なしで引用されている:取引金額、注文件数、承認率、チャレンジ率、チャージバック率、または不正金額。
- ライアビリティシフトの言明が、完全な損失保証として扱われている。
Related
- INDEX
- 日本のカード発行会社、アクワイアラー、プロセッサーの分担
- 日本のカード加盟店管理スタック
- PSP の加盟店精算リスク
- 日本の信用購入・カード事業者登録インデックス
- 日本の BNPL と信用購入境界
- 日本の銀行 API インシデントと不正管理マップ
- 割賦販売法 2020 改正
- jcb
- FinWiki index
Sources
- METI: クレジットカードセキュリティガイドライン改訂の公表およびクレジット取引政策ページ。
- Japan Credit Association: クレジットカードセキュリティガイドライン 6.1 および文書索引。
- JCB: 加盟店向け EMV 3-D Secure 案内およびブランド/カード決済の当事者説明。
- PCI Security Standards Council: PCI DSS 概要および日本語文書ライブラリ。
- EMVCo: EMV 3-D Secure 公開標準概要。
- Payments Japan および FSA / PPC / METI の公開セキュリティ勧告資料。
発見
続けて読む
次に読む
- Japan コード決済 competitive map日本のコード決済市場は、ウォレット・エコシステム、加盟店アクセプタンス・ネットワーク、ロイヤルティ予算、決済/資金移動の各能力をめぐる攻防として記録される。経済産業省の 2025 キャッシュレス決済リリースは、58.0% のキャッシュレス比率を報告し、コード決済をキャッシュレス決済額の 10.2%、すなわち 16.6 兆円と特定する一方、キャッシュレス推進協議会は店舗での金額/...payments/japan-code-payment-competitive-map
- Japan コード決済事業者 2025 市場シェア matrix本エントリは payments index の下に 事業者レベルの 2025 シェアマトリクス として位置し、戦略レーンビューについては Japan code-payment competitive map と、クロススキームのエコノミクスビューについては Japan payment scheme economics matrix と、EPI / ライセンスビューについては 資...payments/japan-code-payment-operator-2025-market-share-matrix
- 日本の JCB イシュアー・経済圏・ポジショニングマトリクス「JCB」は単一のカード会社ではない — それは (a) 日本国内のカードブランドかつ国際的な決済ネットワーク(株式会社ジェーシービー / JCB Co., Ltd.)と (b) 自らが発行するカードに JCB ブランドを載せる日本のイシュアーの集団 である。このブランドはハイブリッドな 3-party / 4-party の形をとっている:「真正な」JCB カード(JCB 発...payments/japan-jcb-issuer-ecosystem-positioning-matrix
ここへリンク
- 日本の未収載金融機関拡充バックログ現在の wiki はすでに強固なコアを備えている:メガバンク、主要 FG、地方銀行グループ、政策金融、保険会社、証券グループ、リース、決済、フィンテック、外資の在日子会社、暗号資産取引所ページ。だが、公式の免許 / 登録一覧に対して網羅的とはまだ言えない。financial-regulators/missing-financial-institutions-backlog
- Japan BNPL / pay-later 事業者 registry matrix日本の BNPL / 後払い のランドスケープは、主に 割賦販売法 によって、個別信用購入あっせん業者 の登録ラインを通じて規律されており、経済産業省(METI)が主要な規制当局である。METI の登録個別信用購入あっせん業者一覧には、credit-purchase card 事業者 registry によれば 2026-04 月末時点で約 138 の登録事業者が含まれており...payments/japan-bnpl-pay-later-operator-registry-matrix
- 日本のカード発行会社、アクワイアラー、プロセッサーの分担このページは Japan card acquiring stack、card security and authentication controls、credit purchase and card 事業者 registry、PSP 決済 risk、cashless landscape、JCB、SMBC Card、MUFG NICOS とあわせて使う。payments/japan-card-issuer-acquirer-processor-split
- 日本の消費者信用オペレーター比較マトリクス日本の「消費者信用」は一つの産業ではない — チェックアウトでは似て見えるが、異なるライセンス、異なる規制当局、異なる貸付上限、異なる金利上限、異なる消費者保護レジームの上に位置する、少なくとも 9つのオペレーター・カテゴリー である。カードローン、信販、消費者金融、BNPL、オートキャプティブ、住宅ローン、教育ローン、マイクロクレジット、PSP 組込型クレジットを一つのバケッ...payments/japan-consumer-credit-operator-comparison-matrix
- 日本のインターチェンジと加盟店手数料スタックこのページは、日本のカード加盟店手数料とインターチェンジ関連開示の公開構造を記録する。対象範囲は、カード加盟店手数料の構成、イシュア手数料 / インターチェンジ開示、アクワイアラ経済性、関連する公開政策資料である。より広い加盟店 PSP 価格、決済準備金、チャージバック配分、ゲートウェイ価格は PSP 加盟店決済 risk と Japan card acquiring stac...payments/japan-interchange-and-merchant-fee-stack