この度、当社はセキュリティ上の新たな措置を追加することになりました。具体的には、加盟店とクレジットカード保有者を詐欺行為から保護するため、Token APIレスポンスの「security_code_check」フィールドが今後表示されなくなります。この措置は、2020年4月1日から有効になります。

決済時にトークンが作成されると、APIはトークン化されたクレジットカード情報をレスポンスで返します。この情報には、「security_code_check」フィールドが含まれます。現在このフィールドは、クレジットカードの事前承認が行われた結果が表示されています。改定後は、利用するクレジットカードの事前承認に問題がなかった場合は「true」とマークされ、それ以外の場合は「false」とマークされます。今後、トークンの作成時に無効なセキュリティコード(CVVなど)が提供される等、様々な理由でクレジットカードの事前承認に失敗した場合でも、課金が作成される前にこのデータが提供されることがなくなります。

変更の理由

詐欺行為を防止するための変更です。加盟店アカウントのパブリックキーは、課金用の新しいトークンを作成するため、APIコールで利用されています。不正行為者が不正にクレジットカード番号を取得すると、ハッキングツールを利用してお客様のパブリックキーを利用することができるようになります。結果、Token APIの応答をモニタリングすることで、クレジットカードのセキュリティコードを不正に収集されてしまう可能性があります。

この詐欺行為を防ぐため、クレジットカードが実際に事前承認にパスしたかどうかに関係なく、トークンAPIによって返される「security_code_check」フィールドを、常に「true」としてマークしてください。課金のリクエストがどのように返されるか、以下の図をご覧ください。

加盟店の皆様へ、ご確認のご依頼

今後は、トークン化されたクレジットカードの有効性を判断するために、セキュリティコードのチェック値を利用する必要はありません。トークンを利用して課金を作成すると、結果は応答に表示されます。クレジットカード情報を保存するときも同じ手順で行うことが可能です。

これは、過去のバージョンと互換性のない変更となります。security_code_checkフィールドの値に依存するシステムがある場合、2020年4月1日以降の動作は保証されませんので、ご注意ください。