「クレジットカード・セキュリティガイドラインの最新の内容が知りたい」
「クレジットカード・セキュリティガイドラインで求められていることは?」
など、クレジットカード・セキュリティガイドラインについて分かりやすく説明してほしいと思っている方はいませんか?
2026年3月にクレジットカード・セキュリティガイドライン【6.1】が公表されました。
そもそもクレジットカード・セキュリティガイドラインは、クレジットカード取引の安全性を向上させるために、カード会社、加盟店、決済代行業者などの関係事業者が実施するべきクレジットカード情報漏えい・不正利用防止のためのセキュリティ対策の取組をまとめたものです。
この記事では、なかでも「EC加盟店」が実施すべき対策に着目して、
- クレジットカード・セキュリティガイドラインで求められていること3つ
- 従来の【6.0】から【6.1】は何が変わったの?
- EC加盟店に求められている不正利用対策
などを解説していきます。
初心者にも分かりやすい内容になっておりますので、本記事から最新のクレジットカード・セキュリティガイドラインのポイントを頭に入れておくようにしましょう。
\かっこ株式会社独自!EC関連553社へのアンケート結果大公開/
目次
クレジットカード・セキュリティガイドラインとは?
クレジットカード・セキュリティガイドラインとは、クレジットカード取引の安全性を向上させるために、カード会社、加盟店、決済代行業者などの関係事業者が実施するべきクレジットカード情報漏えい・不正利用防止のためのセキュリティ対策の取組をまとめたものです。
また、技術の進化に応じてガイドラインは定期的に改訂されておりますが、今回は2026年3月に発表された最新のクレジットカード・セキュリティガイドライン【6.1】について解説していきます。
まずは、なぜクレジットカード・セキュリティガイドラインが作られたのか、その必要性について、以下で詳しく解説していきます。
クレジットカード・セキュリティガイドラインはなぜ作られたのか
クレジットカード・セキュリティガイドラインは、クレジットカード取引に伴うセキュリティリスクを軽減し、消費者と事業者を保護するために作成されました。
政府の政策として、将来的には世界最高水準のキャッシュレス決済比率80%を目指すとされており、2024年の時点でキャッシュレス決済比率は42.8%にまで増加しています。
※引用:経済産業省
また、キャッシュレス決済の中でも、クレジットカード決済は圧倒的なウェイトを占めています。
※引用:経済産業省
しかし、クレジットカード情報の窃取によるECサイトでの不正利用の被害は、依然として高い水準で推移しています。
※引用:日本クレジット協会
このような状況に陥っている背景には、
- ECサイトの設定不備や脆弱性を悪用した不正アクセス
- クレジットマスター攻撃によるクレジットカード情報の窃取
- フィッシング詐欺によるクレジットカード情報を含んだ個人情報の窃取
などが主な原因とされています。
| 原因とされる手口の名称 | 手口の内容 | 詳しく解説している記事 |
|---|---|---|
| クレジットマスター | クレジットカード番号の規則性を悪用し、他人のカード番号を割り出す行為 | |
| フィッシング詐欺 | 実在するサービスや企業になりすまして、偽のメールやSMSから偽サイトに誘導し、IDやパスワードなどの情報を盗んだりマルウェアに感染させたりする手口 |
よって、クレジットカード情報の窃取や不正利用を防止するため、EC加盟店におけるカード情報保護対策およびカード不正利用対策が早急な課題とされています。
クレジットカード・セキュリティガイドラインで求められていること3つ
クレジットカード・セキュリティガイドラインで、「カード会社」「加盟店」「決済代行業者」などの関係事業者に求められていることは3つあります。
- クレジットカード情報保護対策
- 対面取引におけるクレジットカードの不正利用対策
- 非対面取引におけるクレジットカードの不正利用対策
クレジットカード・セキュリティガイドライン【6.1】では、それぞれどのようなことが求められているのかを、以下で詳しく解説していきます。
1. クレジットカード情報保護対策
クレジットカード情報の保護は、クレジットカード取引に関わる全ての事業関係者の責務です。
クレジットカード情報の漏えいは、主にEC加盟店において発生していることから、今まではカード情報を加盟店で保持しない(非保持化)がセキュリティ対策として有効とされてきました。
しかし、最近のクレジットカード情報の漏えい事故は、非保持化を実現したEC加盟店でも発生しています。
よって、クレジットカード情報の保持または非保持にかかわらず、EC加盟店の自社システムおよびWebサイトの定期的な点検を行い、この点検結果に基づき、追加的な対策を導入するなどの適切な対策を行うことが求められています。
2. 対面取引におけるクレジットカードの不正利用対策
対面取引のクレジットカード不正利用対策では、今まで加盟店の決済端末のIC対応、クレジットカードのIC化普及を目指してきました。
現時点では、IC取引の定着により偽造カードによる不正利用被害は減少傾向が続いていることから、引き続き加盟店の決済端末のIC対応、カードのIC化を求めていくとのことです。
このことから、クレジットカード・セキュリティガイドライン【6.1】においても、対面取引の不正利用対策としてはIC取引が最も効果的な対策であると明記されています。
3. 非対面取引におけるクレジットカードの不正利用対策
EC加盟店(非対面取引)におけるクレジットカードの不正利用対策は、クレジットカード取引の流れを「線」として捉え、その線上の各タイミングにおいて適切な不正利用対策を講じることが重要とされています。
つまり、以下の「線の考え方」に基づいて、「カード決済前」「カード決済時」「カード決済後」それぞれの場面において適切な不正利用対策を講じる必要があるということです。
従来のクレジットカード・セキュリティガイドラインでは、EC加盟店における不正利用対策として「4つの方策」を個々に導入することが指針とされてきました。
しかし、クレジットマスター攻撃などで窃取したクレジットカード情報を悪用したなりすましの不正利用が増加しており、この「4つの方策」を個々に導入するだけでは、抑止効果が得られにくくなってきました。
よって、クレジットカード・セキュリティガイドライン【6.1】では、EC加盟店の指針対策は「線の考え方」を基本として、
- オーソリゼーション処理の体制整備
- 加盟店契約上の善良なる管理者の注意義務の履行
- 適切な不正ログイン対策の実施
- EMV 3-D セキュアの導入
を実施することとしています。
また、不正顕在化加盟店に対しては、これらに加え「類似の不正利用の発生を防止するために、適切な不正利用対策を追加導入する」ことを指針対策としています。
特に、EMV 3-D セキュアの導入は義務化されているため、まだ導入していないEC加盟店は早急に導入を進めるようにしてください。
「適切な不正ログイン対策の実施」と「EMV 3-D セキュアの導入」については、『2. EC加盟店は「適切な不正ログイン対策の実施」と「EMV 3-D セキュア導入」を義務付ける』で詳しく解説しています。
なお、次章ではクレジットカード・セキュリティガイドライン【6.0】から【6.1】は何が変わったのかについて解説していきます。
従来の【6.0】から【6.1】は何が変わったの?
クレジットカード・セキュリティガイドライン【6.0】では、
- カード情報保護対策:EC加盟店のシステム及びWebサイトの「脆弱性対策」の実施
- 不正利用対策:適切な不正ログイン対策の実施、EMV 3-Dセキュアの導入
が指針対策として追加されていました。
不正の発生原因や対策効果から現時点における実施するべき指針対策は、従来の【6.0】で示されているため、最新のクレジットカード・セキュリティガイドライン【6.1】は、指針対策の追加・変更などはありません。
よって、ここではクレジットカード・セキュリティガイドライン【6.0】及び最新の【6.1】が、従来の【5.0】からどのような改訂がされているのかのポイントを5つご紹介します。
- EC加盟店は「脆弱性対策」を実施する
- EC加盟店は「適切な不正ログイン対策の実施」と「EMV 3-D セキュア導入」を義務付ける
- 不正顕在化加盟店は「線の考え方」に基づく不正利用対策を追加導入する
- MO・TO取り扱い加盟店はリスクベースによる適切な対策の導入を行う
- 対面取引加盟店における「PINバイパスの廃止」
それぞれの改訂ポイントは、以下で詳しく解説していきます。
1. EC加盟店は「脆弱性対策」を実施する
クレジットカード・セキュリティガイドライン【6.0】及び最新の【6.1】では、EC加盟店のシステムおよびWebサイトにおける、
- ウイルス対策
- 管理者の権限の管理
- デバイス管理等の脆弱性対策の不備を原因としたクレジットカード情報漏えいの防止
として、「脆弱性対策」を実施するようにと明記されています。
EC加盟店が脆弱性対策を実施することは、顧客のクレジットカード情報を守るためには不可欠です。
脆弱性対策を行うことで、不正アクセスやクレジットカード情報を含めた個人情報漏えいのリスクを最小限に抑え、顧客の信頼を維持することができます。
サイバー攻撃が進化する中、クレジットカード・セキュリティガイドライン【6.1】に従い、対策の継続的な更新と強化が必要です。
「脆弱性対策」で行うべき5つの対策
クレジットカード・セキュリティガイドライン【6.0】及び最新の【6.1】では、EC加盟店が実施すべき脆弱性対策として以下の内容を挙げています。
▼EC加盟店が導入する「脆弱性対策」5つ
- システム管理画面のアクセス制限と管理者のID・パスワード管理
- データディレクトリ(コンピューター上でファイルを整理・保存する仮想的なフォルダ)の露見に伴う設定不備への対策
- Webアプリケーションの脆弱性対策
- マルウェア対策としてのウイルス対策ソフトの導入、運用
- 悪質な有効性確認、クレジットマスターへの対策
なお、ECサイトの構築・運用を外部に委託する場合は、委託先に対して、上記の「脆弱性対策」を理解した上で構築・運用を行うことが求められています。
以下の記事では、脆弱性診断の必要性や選び方のポイントを詳しく解説しておりますので、ぜひ参考にしてください。
2. EC加盟店は「適切な不正ログイン対策の実施」と「EMV 3-D セキュア導入」を義務付ける
クレジットカード・セキュリティガイドライン【6.0】及び最新の【6.1】では、「線の考え方」に基づき、カード決済前の「不正ログイン対策の実施」とカード決済時の「EMV 3-Dセキュアの導入」が義務付けられています。
従来の【5.0】からの指針対策追加の背景には、
- 「カード決済前」の不正なアカウント登録や本人になりすまして不正ログインをする手口が増えている
- 「カード決済時」の不正利用被害が2025年は過去最高の510億円となった
- 「カード決済後」の悪質な転売が以前から社会問題となっている
などが挙げられ、カード取引の流れに沿って、「カード決済前」「カード決済時」「カード決済後」の各場面を考慮した適切な対策導入が必要であるとされています。
不正ログインの手口は、近年巧妙化しており被害が急増しているため、カード決済前の不正ログイン対策は非常に重要です。
例えば、ECサイトにおいて不正ログインの被害が発生した場合、
- ECサイトの閉鎖期間における売上高の平均損失額:1社あたり約5,700万円
- 事故対応費用の平均額:1社あたり約2,400万円
これくらいの金銭的・経済的負担を負うとされています。
つまり、ECサイトにおいて不正ログイン被害が発生すると、1社あたりの損失額・事故対応費用は合わせて約8,100万円にのぼるということです。
ここで説明している、「線の考え方」に基づくカード決済前の「不正ログイン対策の実施」とカード決済時の「EMV 3-Dセキュアの導入」がEC加盟店の命綱となることは、この数字を見ると理解できるでしょう。
「適切な不正ログイン対策」で行うべきことは?
EC加盟店が行うべき「適切な不正ログイン対策」とは、ECサイトへの不正ログイン防止として「カード決済前」の各場面に応じた適切な対策を導入することです。
「線の考え方」によるカード決済前の位置づけや対策が必要な場面については、以下の図をご覧ください。
「適切な不正ログイン対策」の具体的な内容としては、以下のカード決済前の「会員登録」「会員ログイン」「属性情報変更」の各場面を考慮した適切な対策を1つ以上導入することです。
なお、効果的な対策導入の観点から、EC加盟店は上図①~⑦の対策を優先的に導入することが推奨されています。
3. 不正顕在化加盟店は「線の考え方」に基づく不正利用対策を追加導入する
不正顕在化加盟店は、不正利用の発生状況などに応じて、「線の考え方」に基づく不正利用対策から適切な対策の追加導入を行うようにと示されています。
従来のガイドラインでは、「不正顕在化加盟店」は不正利用対策の4方策のうち2方策以上を導入することと明記されていました。
しかし、加盟店の取扱商品などにより「不正アカウント作成」や「アカウント乗っ取り」などの手口が異なり、これまでの4方策では実効的な抑止効果が得られにくくなってきました。
このことから、「線の考え方」に基づく不正利用対策から適切な対策の追加導入を行うこととされています。
4. MO・TO取り扱い加盟店はリスクベースによる適切な対策の導入を行う
MO・TO取引の取扱に関しては、EC取引併用の事業者も多く、クレジットカード・セキュリティガイドライン【6.0】及び最新の【6.1】ではリスクベースによる適切な対策の導入を行うことと明記されています。
具体的な指針対策として、
- オーソリゼーション処理の体制整備
- 加盟店契約上の善良なる管理者の注意義務の履行
- リスクや被害状況に応じた非対面不正利用対策の導入
を行うこととされています。
このように、MO・TO取り扱い加盟店は、非対面取引のリスクを軽減するためにリスクベースのアプローチを採用する必要があります。
5. 対面取引加盟店における「PINバイパスの廃止」
2025年4月から、対面取引加盟店におけるPINバイパスが廃止されました。
2025年3月までは、盗難カードによる不正利用の防止および暗証番号を忘れたときの救済措置として、サインで本人認証を行うことが認められていました。
しかし、サインでの本人認証は本人確認効果を有さないことから、2025年4月からはクレジットカードの暗証番号入力が必須化されました。
「PINバイパスの廃止」については、以下の記事で詳しく解説しておりますので、気になる方はお読みください。
【5.0】から【6.0】及び最新の【6.1】で変わったことのまとめ
クレジットカード・セキュリティガイドラインは、時代の変化や新たな脅威に対応するために定期的に改訂されます。
クレジットカード・セキュリティガイドライン【5.0】から【6.0】及び最新の【6.1】で変わったことを以下の表にまとめましたのでご覧ください。
| 指針変更の項目 | 【5.0】の内容 | 【6.0】及び最新の【6.1】の内容 |
|---|---|---|
| EC加盟店におけるカード情報保護対策 | カード情報を保持しない非保持化、またはカード情報を保持する場合はPCI DSSに準拠する (※【6.0】でも継続) |
システムおよびWebサイトの「脆弱性対策」の実施を行うこと (※詳しくは『1. EC加盟店は「脆弱性対策」を実施する』で解説) |
| EC加盟店における不正利用対策 |
|
「線の考え方」に基づき、カード決済前の「不正ログイン対策の実施」とカード決済時の「EMV 3-Dセキュアの導入」が義務化 (※詳しくは『2. EC加盟店は「適切な不正ログイン対策の実施」と「EMV 3-D セキュア導入義務」がある』で解説) |
| 不正顕在化加盟店・高リスク商材取扱加盟店における不正利用対策 | 「高リスク商材取扱加盟店」は、本ガイドラインが掲げる4つの方策のうち1方策以上、「不正顕在化加盟店」は2方策以上を導入 (※【6.0】では終了) |
不正顕在化加盟店は不正利用の発生状況などに応じて、「線の考え方」に基づく不正利用対策から適切な対策の追加導入を行う(※詳しくは『3. 不正顕在化加盟店は「線の考え方」に基づく不正利用対策を追加導入する』で解説) |
| MO・TO取引を取り扱う加盟店における不正利用対策 |
|
リスクベースによる適切な対策の導入を行う(※詳しくは『4. MO・TO取り扱い加盟店はリスクベースによる適切な対策の導入を行う』で解説) |
| 対面取引加盟店における不正利用対策 | ー | 2025年4月から対面取引加盟店における「PINバイパスの廃止」(※詳しくは『5. 対面取引加盟店における「PINバイパスの廃止」』で解説) |
従来のクレジットカード・セキュリティガイドライン【5.0】から【6.0】及び最新の【6.1】では、対面取引・非対面取引におけるセキュリティが一層向上し、カードの不正利用リスクが低減されることが期待されています。
クレジットカード・セキュリティガイドラインに違反するとどうなる?
クレジットカード・セキュリティガイドラインに違反または対応しない場合は、次のようなリスクが発生する可能性が高まります。
- カード会社(アクワイアラー)から加盟店契約の解除
- 加盟店情報交換センター(JDM)で情報交換されて、他のカード会社(アクワイアラー)とも加盟店契約が結べない
- 事業継続に多大なリスク・損失が発生する
クレジットカード・セキュリティガイドラインに違反または対応せずに顧客のカード情報が漏えいした場合、法的責任や多額の賠償金を負う可能性があります。
以下の記事では、情報漏えいを起こしてしまうとどんな罰則やリスクがあるのかについて解説していますので、本記事と併せて読んでみて下さい。
また、カード会社からの加盟店契約の解除や不正顕在化加盟店としていわゆるブラックリストに登録されてしまい、他のカード会社とも加盟店契約が結べないリスクもあります。
そうなると、顧客とカード会社からの信用を失い、ブランドイメージの低下はもちろんのこと、多大な損失が発生することになるでしょう。
つまり、クレジットカード・セキュリティガイドラインを遵守することは、リスク回避とビジネスの安定に重要です。
EC加盟店に求められている不正利用対策は「線の考え方」に基づく対策
クレジットカード・セキュリティガイドライン【6.0】及び最新の【6.1】ではEC加盟店に対して、「線の考え方」に基づき、カード決済前の「不正ログイン対策の実施」とカード決済時の「EMV 3-Dセキュアの導入」が義務付けられています。
もう一度、「線の考え方」を説明している図をご覧ください。
最近ではフィッシング詐欺などで窃取したログイン情報を使って、本人になりすましてECサイトに不正ログインをする手口が増えています。
企業が行うべきフィッシング詐欺対策については、以下の記事で詳しく解説していますので本記事と併せて参考にしてください。
また、クレジットマスター攻撃やフィッシング詐欺などで窃取したクレジットカード情報を使って、ECサイトでカードを不正利用される被害も年々増加していています。
よって、従来のガイドラインで求めていた、クレジットカードの決済前・決済時・決済後を考慮して、それぞれの場面ごとに対策を導入するという考えは変わらずに、「不正ログイン対策の実施」と「EMV 3-Dセキュアの導入」を義務化するといった強めの姿勢に変わりました。
不正ログイン対策といっても、いくつもの対策方法がありますが、クレジットカード・セキュリティガイドラインを遵守するためには、不正検知サービスの導入が最も有効です。
不正検知サービスの概要や、おすすめの不正検知サービスについては、以下で詳しく解説します。
「線の考え方」に基づく対策ではCaccoの不正検知サービスの導入がおすすめ
「線の考え方」に基づく対策では、当サイトを運営するCaccoの不正検知サービス「O-PLUX」の導入がおすすめです。
まず、不正検知サービス「O-PLUX」とは、ログインから決済までECの不正を一貫して見抜くことができるクラウドサービスです。
※参考:Cacco Inc.
つまり「O-PLUX」では、不正ログインによる個人情報漏洩や、クレジットカードの不正利用など、カード決済前・決済時・決済後の場面にて、一貫した不正対策ができるということです。
O-PLUXがカード決済前の会員登録や会員ログインの際に、どのように機能しているのかは以下の図をご覧ください。
※参考:Cacco Inc.
また、O-PLUXがカード決済時の不正利用をどのように検知しているのかは、以下の図をご覧ください。
※参考:Cacco Inc.
このように、「線の考え方」に基づいて「カード決済前」「カード決済時」「カード決済後」それぞれの場面において適切な不正利用対策を講じる必要があると示しているクレジットカード・セキュリティガイドラインに遵守するためには、「O-PLUX」の導入は最も効果的な対策だと言えるでしょう。
不正検知サービス「O-PLUX」についてもっと詳しく話しを聞いてみたいEC加盟店様は、以下をクリックしてお気軽にお問い合わせください。
-8-1000x300.png)
1万円で2週間のトライアル利用も受付中!
O-PLUXのトライアルはこちら
なお、ここからは多くのEC加盟店が今抱える問題についてお話しします。
それは、クレジットカードの決済承認率の低下問題です。
-1000x608.png)
※参考:Cacco Inc.
2025年にEMV 3-Dセキュアの導入が義務化され、EMV 3-Dセキュアを導入するEC加盟店が増えたにもかかわらず、カードの不正利用被害は深刻な状態が続いています。
このような背景から、近年カード会社は不正利用が多発しているEC加盟店において、決済承認率を厳しくする姿勢を見せています。
実際に以下のグラフを見ても分かるように、EMV 3-Dセキュア導入前に比べて、導入後の決済承認率が低下しているEC加盟店が増えています。
つまり、決済承認率の低下は売上に直結するため、「最近売上が落ちている」とお悩みのEC加盟店は、早急に決済承認率を可視化して自社サイトの決済状況を把握することが大事です。
先ほども紹介した不正検知サービス「O-PLUX」なら、カード決済前の不正ログイン対策やカード決済時の不正利用対策と同時に、決済承認率の可視化・改善を行うことができます。
ECにおける不正対策や売上減少のお悩みをまとめて解消したいEC加盟店は、ぜひ「O-PLUX」の導入を検討してみて下さい。
\今や不正対策は売上・利益増加に必須!/
不正対策をすると売上・利益が増加するメカニズムを解説しています。 
なお、決済承認率の低下問題については、以下の記事でも詳しく解説しておりますので、ぜひお読みください。
まとめ
2026年3月にクレジットカード・セキュリティガイドライン【6.1】が発表されました。
クレジットカード・セキュリティガイドラインは、現代の非対面取引や対面取引におけるクレジットカードの不正利用リスクを最小限に抑えるために設けられた重要な指針です。
クレジットカード・セキュリティガイドライン【6.0】から【6.1】では、不正の発生原因や対策効果から現時点における実施するべき指針対策に変わりがないことから、大幅な改訂は行われていません。
クレジットカード・セキュリティガイドライン【6.0】及び最新の【6.1】の中でEC加盟店に重要なポイントは5つです。
- EC加盟店は「脆弱性対策」を実施する
- EC加盟店は「適切な不正ログイン対策の実施」と「EMV 3-D セキュア導入」を義務付ける
- 不正顕在化加盟店は「線の考え方」に基づく不正利用対策を追加導入する
- MO・TO取り扱い加盟店はリスクベースによる適切な対策の導入を行う
- 対面取引加盟店における「PINバイパスの廃止」
特にEC加盟店にとって、クレジットカード・セキュリティガイドラインを理解し実行することは、顧客の安全を守るだけでなく、信頼性を高めるためにも欠かせません。
EC加盟店に求められている不正利用対策は、「線の考え方」に基づいたカード決済前の「不正ログイン対策の実施」とカード決済時の「EMV 3-Dセキュアの導入」の義務化です。
「不正ログイン対策」においてはあらゆる対策がありますが、ガイドラインに遵守できて、かつ最も効果的なのが「不正検知サービス」の導入です。
当サイトを運営するCaccoの不正検知サービス「O-PLUX」なら、「線の考え方」に基づいたカード決済前の「不正ログイン対策」を万全に行うことができます。
不正検知サービス「O-PLUX」について興味があるEC加盟店様は、以下をクリックしてお気軽にお問い合わせください。
1万円で2週間のトライアル利用も受付中!
O-PLUXのトライアルはこちら
なお、導入が義務化されているEMV 3-Dセキュアは、実際にすり抜けられてしまうケースも発生していることから、不正利用対策としては不十分です。
また、EMV 3-Dセキュアだけでは決済承認率が低下する問題が発生する恐れもあります。
EMV 3-Dセキュアでは対策として弱いカード決済時の強化を行うことに加えて、決済承認率の可視化・改善などまとめて対策できる不正検知サービス「O-PLUX」を導入するのがおすすめです。
EC加盟店は、導入が義務化されているEMV 3-Dセキュアと不正検知サービスを導入して、クレジットカード・セキュリティガイドライン【6.1】に遵守していきましょう。
\今や不正対策は売上・利益増加に必須!/
不正対策をすると売上・利益が増加するメカニズムを解説しています。
