クレジットカード会社システム

クレジットカード会社システムは、銀行系や流通系、信販系ごとにその発展の経緯は異なるものの、概ね、昭和40年代に大型コンピュータが初めて導入され、昭和50年代にはオンライン化や全国レベルのオンライン網の構築が進められてきました。

また、その後CD/ATM網の構築、信用情報端末（CAT）の加盟店への設置、CAFISネットワークの稼動開始、CD/ATM網の相互接続などが順次実施され、クレジットカードの普及や利便性向上に寄与してきました。

しかしながら、その後、系列銀行の経営統合やグレーゾーン金利廃止問題等を受けて、銀行系や信販系会社を中心に経営統合や提携の流れが相次ぎ、システムも統合や共同化が進められてきました。

近年では、オンラインショッピング・決済への対応（EMV3Dセキュア対応）、電子マネーとの連動、タッチ決済、バーチャルカードなどのモバイル決済への対応、公共分野やNISA等におけるカード決済への対応などのシステム対応が行われており、クレジットカードが使用される領域が拡大し続けています。

様々なFinTechサービスやデジタル決済サービスが登場してきていますが、裏側ではクレジットカード会社の既存インフラを使用したり、キャッシュチャージやポイント連携等でシステム連携するなど、クレジットカード会社システムは、キャッシュレス社会における多様な決済手段を支える重要な社会インフラへと変容しつつあります。

以下に典型的なクレジットカード会社システムの概要図を示します。各会社により、システム構成は大きく異なります。

24時間365日のオーソリゼーション

インターネット決済が当たり前となった現在、クレジットカード会社システムも、24時間365日のオーソリゼーション（信用確認、信用承認）が当たり前となっています。24時間365日稼働を実現するために、対外系システム（オーソリシステム）と基幹系システムを分離させるほか、対外系システムを冗長化するなどの対策が行われています。

強固なセキュリティ、不正防止

クレジットカードはその利便性の反面、犯罪者から狙われやすく、カード情報が不正に取得されたり、不正に利用される場合があります。このため、各社ともセキュリティ対策や不正利用防止対策に力を入れています。具体的には、ナンバーレスカードやバーチャルカードへの切替、PCI DSS準拠、EMV 3Dセキュア対応、FIDOパスキーの導入、不正利用検知システムの開発等を行っています。

クレジットカード会社システムは、入会審査や途上与信、売上請求管理等を行う業務系システムや、オーソリゼーション機能を担う対外接続系システム、データベースマーケティング等を実現する情報系システムなどから構成されています。

業務系システム

業務系システムは、クレジットカードに関する入会審査や途上与信、不正検知など、主たる業務を司るシステムです。ここでは、業務システムの中でも代表的なサブシステムについて幾つか紹介します。

初期審査システム

初期審査システムは、顧客から提出されたクレジットカードの申込書の記載内容について、本人確認（KYC）および名寄せ処理を行った後に、自社のネガ情報チェック、外部信用情報機関への信用情報照会等を行い、クレジットカードを発行するか審査するシステムです。

実際の審査では、顧客属性（勤務先、年収、勤続年数など）や他社の借入状況等から、自動的にスコアリングが行われ、審査業務の負担軽減が図られています。

2010年の割賦販売法の改正により、過剰なクレジット利用による消費者被害を防ぐために、支払可能見込額を考慮した審査が義務付けられました。支払可能見込額の計算式は以下のとおりです。生活維持費は、世帯人数や住宅ローン・家賃の有無、居住地域によって異なります。

支払可能見込額の計算式

支払可能見込額 = 年収 - 年間請求予定額 - 生活維持費

審査を通過した申込書については、クレジットカードの発行データの作成や、銀行口座の口座振替契約データの作成が行われ、印刷業者や銀行へ送付されます。

途上与信システム

途上与信システムは、クレジットカードの更新時や利用限度額の変更時、あるいは定期的に、当該会員の利用状況や延滞実績、外部信用情報等をモニタリングして、カード更新や限度額変更等を実施するか否か審査するシステムです。

初期審査システムでは、主に顧客属性や外部信用情報機関の情報に基づいて審査を行いますが、当システムでは主にこれまでの利用実績をもとに審査を行います。

途上審査時にも、初期審査時と同様に「支払可能見込額」の計算が必要となります。

売上請求管理システム

売上請求管理システムは、ショッピングやキャッシングの売上処理や、口座振替データ作成等の請求処理、口座振替結果管理等の入金処理などを実施します。

売上処理では、オーソリシステムから受領したショッピングやキャッシングの取引データをもとに、売上マスタ等の更新処理を行い、請求処理では、売上明細データから、会員宛の利用明細書作成や請求書作成等を行います。また、入金処理では、口座振替結果データや会員からの入金データをもとに、入金の過不足管理や延滞明細の特定を行います。

不正検知システム

不正検知システムは、クレジットカードの利用状況等をモニタリングして、盗難や不正利用を検出するシステムです。オーソリゼーション要求データをリアルタイムでモニタリングし、不正検知ルールや会員属性に応じた行動分析等を通じて、不正利用を洗い出すことができます。

外部接続システム

外部接続システムは、CAFISや信用情報センター等の外部センターとの接続管理を担っているほか、オーソリゼーション機能（加盟店や他カード会社からのクレジットカード使用可否照会への回答）を有しています。ここでは外部接続システムの代表的な機能や外部センターについて簡単に解説を行います。

オーソリゼーション機能

オーソリゼーション機能とは、加盟店や他カード会社加盟店からのクレジットカード利用可否照会への回答機能です。24時間365日対応が必要であり、かつ迅速な回答が求められることから、業務系システムから分離して外部接続システムの一部として構築することが一般的です。

CAFIS

CAFIS（読み：キャフィス）とは、NTTデータが提供するオーソリゼーションネットワークセンターです。各クレジットカード会社と各加盟店の信用照会端末（CAT/CCT）とをネットワークで接続して、オーソリゼーションデータの送受信を行っています。

また、CDS（クレジットデータ伝送システム）という売上データ専用のサービスが提供されており、加盟店とクレジットカード会社の間での売上データ等の一括送受信が実施できるようになっています。

その他オーソリセンター

もともと日本においては、NTTデータが提供するCAFISしかオーソリゼーションセンターが存在しませんでしたが、1995年頃以降、国際ブランドカード（JCB、VISA、MasterCard）系のオーソリゼーションセンターが登場してきています。

各オーソリセンターとも、信用照会端末の機能強化や海外ATMにおけるキャッシングサービス、不正利用検知などのサービス拡充などで競合センターとの差別化を図ろうとしています。

個人信用情報機関

個人信用情報機関は、個人のローンやキャッシング、消費者金融借入等の与信に関する情報や延滞情報等を、会員企業から収集し保有しており、会員企業からの照会に対して迅速に回答しています。主に全銀個人信用情報センター、シー・アイ・シー、日本信用情報機構（JICC）の3つの機関が存在しています。

各クレジットカード会社は、初期審査や途上与信等の機会において、個人信用情報機関へ照会を行っているほか、キャッシング等の利用履歴情報を各個人信用情報機関に定期的に提供しています。

情報系システム

情報系システムは、会員情報やカード利用履歴（購入、キャッシング、延滞）、加盟店情報等を一元的に管理して、データベースマーケティングや加盟店拡大戦略立案等をサポートするシステムです。

業務系システムやオーソリシステム等から収集したデータを保有するデータウェアハウスと、顧客情報等を分析・管理するCRMシステムやマーケティング支援システム等から構成されています。

特に近年、クレジットカード利用履歴を分析し各会員に応じた適切なタイミングに、1人1人に合ったお得情報（クーポンなど）やマーケティング情報を消費者に提供する、CLO（Card Linked Offer）と呼ばれる手法が普及しつつありますが、これらの手法も情報系システムにより実現されています。

チャネルシステム

チャネルシステムは、様々なチャネル経由でクレジットカードの利用履歴照会や各種申込、マーケティング等を行うためのシステム群です。

インターネットサイト上でカード利用履歴照会やポイント交換、上限金額変更申請等を担うインターネットシステムや、顧客問合せ業務（インバウンド業務）や延滞督促等のアウトバウンド業務を担うコールセンターシステムなどがあります。

我が国では、2025年6月までにキャッシュレス決済比率 40%を目指す目標を打ち出すなど、政府としてキャッシュレス化を推進しています。QRコードなど多様なキャッシュレス決済が登場する中でも、クレジットカード決済は依然として圧倒的なウェイト（8割以上）を占めています。

一方で、クレジットカード情報の漏洩や盗用による不正利用の被害は依然として高い水準で推移しており、社会問題となっています。

具体的には、EC加盟店の設定の不備や第三者の不正アクセスによるクレジットカード情報の窃取（WEBスキミング攻撃など）、大量かつ連続する不正アタックによるクレジットカード番号の有効性確認（クレジットマスター攻撃）、フィッシングによるクレジットカード情報の窃取等により不正に取得されたクレジットカード情報が悪用されていると考えられます。

このようなクレジットカード情報の窃取や不正利用を防止するため、2016年の改正割賦販売法において クレジットカード番号等の適切な管理及び不正使用対策が義務付けられました。 例えば、カード情報の非保持化やPCI DSS準拠などの不正使用対策を講じることとされました。

これを受けて、日本クレジット協会は2017年に「クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画」を策定した上で、その実施期限である2020年に「クレジットカード・セキュリティガイドライン」を発行しています。

このガイドラインは、割賦販売法に規定するセキュリティ対策義務の「実務上の指針」として位置づけられており、同ガイドラインに掲げられている措置又はそれと同等以上の措置を適切に講じている場合には、同法で定めるセキュリティ対策の基準を満たしていると認められます。

2024年5月に公開された第5.0版で求められているセキュリティ対策の概要を紹介します。

クレジットカード情報保護対策

PCI DSS準拠

クレジットカード番号等を取り扱うクレジットカード番号等取扱い事業者に対して、「PCI DSS準拠」同等以上の対応を求めています。

具体的には、イシュアー（1号）、アクワイアラ（3号）、決済代行業者・ECモール事業者（4号）、コード決済事業者（5号）、決済サービス受託事業者（6号）、ECシステム提供会社（7号）になります。

特に、令和2年の割賦販売法改正で、規制の対象となる事業者が、カード会社と加盟店に加えて、対象範囲を拡大し、決済代行事業者、QRコード事業者、ECモール事業者も対象となっています。

加盟店（2号）については、カード情報を保持しない「非保持化」（非保持と同等/相当を含む）又はカード情報を保持する場合はPCI DSS に準拠する、ことが求められています。

セキュリティ・チェックリスト

経産省が2023年1月に公開した「クレジットカード決済システムのセキュリティ対策強化検討会報告書」において、EC加盟店のECシステムやECサイト自体の脆弱性対策等の基本的なセキュリティ対策を必須とすることが記載されました。

この報告書を受けて、クレジットカードセキュリティガイドラインの第4.0版と第5.0版において、全てのEC加盟店が「セキュリティ・チェックリスト」記載のぜい弱性対策等のセキュリティ対策を実施することが明記されました。

アクワイアラー及びPSPは、EC加盟店に対して、新規の加盟店契約の申込みに際してEC加盟店自らのセキュリティ対策の実施とその申告を求めるとともに、申告内容をもとにセキュリティ対策の実施状況を確認する必要があります。

不正利用対策

EMV3Dセキュアの必須化

クレジットカードの対面取引の不正利用については、加盟店の決済端末のIC対応や、ICカードが普及・定着したことから、偽造カードによる不正利用被害は減少傾向が続いています。一方で 非対面取引については、EC加盟店等から漏洩したクレジットカード番号やクレジットマスター攻撃によるカード番号の窃取による不正利用被害が依然として増加傾向にあります。

このような状況を踏まえ、本ガイドライン第4.0版において、原則、全てのEC加盟店に対して2025年3月末までにEMV3Dセキュアの導入を求めることが明記されました。

イシュアーは、EMV3Dセキュアの本人認証方法として「静的（固定）パスワード」から「動的（ワンタイム）パスワード」等の認証方法への移行環境を整え、2025年3月末までに自社カード会員が「動的（ワンタイム）パスワード」等の認証方法へ登録・移行するよう取組んでいます。

また、アクワイアラー及びPSPは、2025年3月末までに、原則、全てのEC加盟店がEMV3Dセキュアの導入を計画的に進められるようサポートを行う必要があります。

不正利用対策における「線」の考え方

本ガイドラインの第4版以前では、非対面不正利用対策として、4つの方策（①本人認証（EMV 3-Dセキュア、認証アシスト）、②券面認証（セキュリティコード）、③属性・行動分析、④配送先情報）をベースとした複数の対策を導入することが指針とされてきました。

一方で、加盟店の業種や業態、取扱商品、不正利用の実態等により、効果的な不正利用対策が異なっており、複数の方策を導入したとしても実効的な抑止効果が得られにくいケースも散見されたことから、本ガイドライン第5.0版では、決済の場面（決済前・決済時・決済後）を考慮して、それぞれの場面ごとに対策を導入するという「線」として考える指針が示されています。

EMV 3-Dセキュアを不正利用対策の軸とし、クレジットマスターやフィッシング被害を抑止する「カード決済前」の対策や商品の配送が伴う場合の「カード決済後」の対策も加え、不正利用対策をより実効的なものにしていくとされています。