「クレジットカード・セキュリティガイドラインについて知りたい」
「クレジットカード・セキュリティガイドライン【5.0版】の改正ポイントは何?」
など、クレジットカード・セキュリティガイドラインについて分かりやすく説明してほしいと思っている事業者様が多いです。
クレジットカード・セキュリティガイドラインは、2020年3月に公表されたもので、クレジットカード決済を導入する事業者を含む関連業者による健全な取引と消費者の保護を目指しています。
この記事では、
- クレジットカード・セキュリティガイドラインとは
- クレジットカード・セキュリティガイドライン【5.0版】の改定ポイント3つ
- EC事業者に求められているセキュリティ対策とは
などを解説していきます。
クレジットカード・セキュリティガイドラインについて理解を深めたい事業者様は、ぜひご一読ください。
EC関連549社を独自調査!EC業界の不正利用対策の現状とは!?
目次
クレジットカード・セキュリティガイドラインとは
クレジットカード・セキュリティガイドラインとは、安全・安心なクレジットカード利用環境を整備するため、クレジットカード取引に関わるカード会社、加盟店、決済代行業者等の関係事業者が実施するべきクレジットカード情報漏えい・不正利用防止のためのセキュリティ対策の取組を取りまとめたものです。
また、クレジットカード・セキュリティガイドラインは、割賦販売法に規定するセキュリティ対策義務の「実務上の指針」として位置づけられています。
クレジットカード・セキュリティガイドラインに「指針対策」として掲げられている措置またはそれと同等以上の措置を適切に講じている場合には、割賦販売法で定めるセキュリティ対策の基準を満たしていると認められます。(※引用:経済産業省)
クレジットカード・セキュリティガイドラインで定める対策3つ
クレジットカード・セキュリティガイドラインで定める対策は主に3つです。
- 情報保護対策
- 対面決済における不正利用対策
- 非対面決済における不正利用対策
それぞれどのような対策なのかを、以下で詳しく解説していきます。
1. 情報保護対策
情報漏洩に対抗するために、対面決済・非対面決済のいずれの場合でも、クレジットカード情報の非保持化またはPCI DSS準拠が定められています。
PCI DSS:クレジットカード情報を安全に取り扱うために策定された、クレジットカード業界のセキュリティ基準のこと
非保持化対応を実施することで、外部からの侵入によるクレジットカードの情報漏洩を防ぐことが可能と考えらえています。
2. 対面決済における不正利用対策
対面決済における不正利用対策では、クレジットカードのIC化100%を目指すことが挙げられます。
クレジットカード・セキュリティガイドラインでは、2020年3月に偽造カード被害の抑制を目的としてクレジットカードのIC化を定めていて、その結果偽造カード被害額が大幅に減少した成果を残しています。
よって、この対策は一定の成果を収めているため、引き続きカード会社によるクレジットカードのIC化を進めていくこととなります。
3. 非対面決済における不正利用対策
非対面決済における不正利用対策では、クレカ不正の手口が巧妙化してきていることから、重層的な不正利用対策として4方策の導入を掲げています。
これにより、本人認証の一つであるEMV3-Dセキュアは、2025年3月末までに全ての加盟店対象が導入必須となりました。
また、高リスク商材取扱加盟店・不正顕在化加盟店に該当する場合は、複数サービスの導入とクレジットカード・セキュリティガイドライン【5.0版】では早急なEMV3-Dセキュア導入が求められています。
| 対象加盟店 | 求められている対策 | EMV3-Dセキュアの導入について |
|---|---|---|
| 全てのEC加盟店 | ・カード番号の適切な管理などの一般的な不正対策 ・カード会社への両人判定処理 | 2025年3月までに早期に導入着手 (※導入優先順位あり) |
| 高リスク商材取扱加盟店 (デジタルコンテンツ、家電、電子マネー、チケット、宿泊予約サービス) | 不正利用対策の4方策のうち、1方策以上の対応 | |
| 不正顕在化加盟店 (カード会社が把握する不正利用金額が3ヵ月連続50万円超に該当するEC事業者) | 不正利用対策の4方策のうち、2方策以上の対応 | 即時に導入着手 |
以下は、クレジットカード不正利用対策の4方策を分かりやすくまとめた表です。
| 4方策 | 対策サービス | 提供サービスの例 | 不正利用判定の主体 |
|---|---|---|---|
| 本人認証 (特定のパスワードや属性情報を入力させて本人を確認する) | 本人認証サービス | EMV3-Dセキュア | クレジットカード会社 |
| 券面認証 (券面の数字を入力させて本人のカードであることを確認する) | セキュリティコード | CVV、CVV2 | クレジットカード会社 |
| 属性・行動分析 (過去の取引情報等に基づくリスク評価によって不正取引を判定する) | 不正注文検知システム | O-PLUX 不正チェッカー | EC事業者 |
| 配送先情報 (不正配送先情報を蓄積させることで事前に配送を停止させる) | 不正配送先情報サービス 不正注文検知システム | O-PLUX 不正チェッカー | EC事業者 |
表を見て分かる通り、4方策全てをカバーする不正対策を行うためには、EMV3-Dセキュアと不正注文検知システム「O-PLUX」や「不正チェッカー」を併用する必要があります。
特に高リスク商材取扱加盟店や不正顕在化加盟店に該当する場合は、クレジットカード・セキュリティガイドラインが求めている対策を行うためにもEMV3-Dセキュアと不正注文検知システムを併用して重層的な対策を行っていきましょう。
※参考:かっこ株式会社|O-PLUX
以下の記事では、EMV3-Dセキュアと不正注文検知システムを併用している事例を紹介しているので、ぜひ参考にしてください。
\大手事業者の3Dセキュアと不正検知システムの併用事例あり/ 
※2022年10月より3Dセキュア2.0に移行となり、3Dセキュア1.0は提供が終了となります。
3Dセキュア2.0についてはこちらをご参照ください。
クレジットカード不正被害額は過去最高を更新し続けている
クレジットカード・セキュリティガイドラインが策定された背景として、クレジットカード不正利用被害額が過去最高を更新し続けていることも関係しています。
クレジットカード不正利用被害額は増加し続けていて、2023年は過去最高の540.9億円の被害が発生しました。
中でも、クレジットカード番号盗用被害は全体の9割を占めていて、2023年は504.7億円の被害が発生しています。
以下は、クレジットカード番号盗用被害額の推移を表しているグラフです。
※参考:日本クレジット協会
クレジットカード不正利用被害額が過去最高を更新し続けている理由として、キャッシュレス決済を利用する人が増えていることもありますが、不正者の増加や不正手口の巧妙化によって簡易的なセキュリティ対策では突破されてしまうケースが多いからです。
クレジットカード・セキュリティガイドラインは、これらの不正からユーザーを守るためにも定期的に改訂され、EC事業者やカード会社に最善の対策を行うように求めています。
\かっこ株式会社調査まとめ!近年のクレカ不正とは?/ 
クレジットカード・セキュリティガイドライン【5.0版】の改訂ポイント3つ
令和6年3月に、クレジットカード・セキュリティガイドライン【5.0版】が改訂されました。
改訂があったのはEMV3-Dセキュアの導入着手時期や不正利用への対策についてです。
主な改訂ポイントは以下の3つです。
- 早期にEMV3-Dセキュアの導入に着手するよう働きかける
- 必要なセキュリティ対策を関係事業者別に構成
- 決済前・決済時・決済後のそれぞれの場面ごとに対策を導入する
具体的にどのような改訂が加えられたのか、以下で詳しく解説していきます。
【改定ポイント1】早期にEMV3-Dセキュアの導入に着手するよう働きかける
クレジットカード・セキュリティガイドライン【4.0版】では、原則2025年3月末までにすべてのEC加盟店にEMV3-Dセキュアの導入を求めていましたが、【5.0版】では早期にEMV3-Dセキュアの導入に着手するように働きかけることになりました。
特に、すでに不正利用が発生し被害が生じている加盟店「不正顕在化加盟店」は、即時にEMV3-Dセキュアの導入に着手するように求めています。
その他EC加盟店へのEMV3-Dセキュア導入優先順位は、
- 不正顕在化加盟店ではないが不正が発生しているEC加盟店
- 高リスク商材を取り扱っている加盟店
- 上記以外の加盟店
となっています。
また、カード会社やPSPがEC加盟店と新規に加盟店契約する際には、2025年3月末までにEMV3-Dセキュアを導入することを説明した上で契約することとしています。
EMV3-Dセキュアはチャージバック対策に有効
EMV3-Dセキュアはチャージバック対策にも有効です。
チャージバックとは、ユーザーが同意しない決済についてクレジットカード会社が売り上げを取り消してユーザーに返金する仕組みを指します。
※参考:かっこ株式会社|O-PLUX
EC事業者がチャージバックによる損失を回避するためには、EMV3-Dセキュアの導入が有効です。
EMV3-Dセキュアを導入していれば、不正利用によるチャージバックが発生しても決済時にEMV3-Dセキュアによる認証が行われていれば、ライアビリティシフトにより加盟店が損失を負うことも原則ありません。
しかし、昨今ではEMV3-Dセキュアだけでは不正が突破されてしまうケースが発生しています。
不正の突破によりチャージバックの数が増えてしまうと、
- オーソリ承認率の低下
- カード会社から契約変更・終了を求められる
などのリスクが発生してしまいます。
カード会社は、不正が多い加盟店に対してオーソリの基準を厳しくし、承認率を低下する動きをとります。
つまり、オーソリ承認率が低下するということは、正規ユーザーでもクレジットカードが使えなくなるケースが発生してしまい、売上機会を失うのなどの損失を招きます。
さらに、継続的に不正が発生していて改善の余地が見られないと判断された場合、カード会社から契約変更や契約終了を突き付けられることになるでしょう。
よって、チャージバックによる損失の回避だけではなく、カード会社からの信用を失わないためにも、EMV3-Dセキュアと不正注文検知システムを併用して重層的な対策をしていきましょう。
EMV3-Dセキュアだけでは対策が不十分であることについては、以下の記事でも詳しく紹介していますので参考にしてください。
【改定ポイント2】必要なセキュリティ対策を関係事業者別に構成
クレジットカード・セキュリティガイドライン【5.0版】では、自身がどの事業者に該当して、且つ必要なセキュリティ対策は何かを理解しやすい内容に見直しが行われました。
従前の【4.0版】の内容を基に、関係事業者ごとに「対面取引」と「非対面取引」別に、各事業者が講じるべき「カード情報保護対策」「不正利用対策」「周知・啓発等」に関して対策を具体的に記載しています。
加盟店においては、クレジットカード・セキュリティガイドライン【5.0版】では必要なセキュリティ対策について具体的にこのように示しています。
| 【加盟店】 セキュリティ対策 | クレジットカード・セキュリティガイドライン【5.0版】 | |
| 対面取引 | 非対面取引 | |
| カード情報保護対策 | 加盟店におけるカード情報保護のための取組として「非保持化」を推進する | カード情報を保持しない非保持化、又はカード情報を保持する場合はPCI DSSに準拠する |
| 不正利用対策 | IC 取引を可能とするため設置する決済端末の全てを IC 対応にする | ・オーソリゼーション処理の体制整備と加盟店契約上の善良なる管理者の注意をもって不正利用の発生を防止する ・リスクや被害状況に応じた非対面不正利用対策を導入する ・「高リスク商材取扱加盟店」は4つの方策のうち1方策以上必要 ・「不正顕在化加盟店」は2方策以上の導入が必要 |
| 周知・啓発 | PIN 不知のカード利用者に対しては、PIN 確認のためにカード会社(イシュアー)への案内に協力する | ・消費者がフィッシング詐欺に遭わないように、フィッシングの手口や自社の名を騙る詐欺サイト等に対する注意喚起を行う ・カード利用時に求められる場合のあるセキュリティコードやパスワードの利用、ID・パスワードの使い回しの危険性等について注意喚起を行う |
※参考:日本クレジット協会|クレジットカード・セキュリティガイドライン【5.0版】
その他関係事業者ごとの具体的なセキュリティ対策については、日本クレジット協会が発表している「クレジットカード・セキュリティガイドライン【5.0版】」をご覧ください。
また、基本的なセキュリティ対策の1つとして、新規加盟店契約申し込みの前に「セキュリティ・チェックリスト」記載の対策を実施し、その状況をアクワイアラー・PSPに申告した上で契約を締結することが求めれています。
このように【5.0版】では、それぞれの関係事業者ごとに具体的にどのような対策を行えばいいのかを示しているので、今後各関係事業者は適切なセキュリティ対策の推進が図れるようになるでしょう。
特にEC加盟店においては、不正アクセスやサイバー攻撃の被害に遭う前に自社に合った適切なセキュリティ対策を早急に行うようにしましょう。
【改定ポイント3】決済前・決済時・決済後のそれぞれの場面ごとに対策を導入する
クレジットカード・セキュリティガイドライン【5.0版】では、カード決済前・決済時・決済後のそれぞれの場面ごとに対策を導入するように求めています。
加盟店ごとに効果的な不正利用対策が異なっており、EMV3-Dセキュアを含めた複数の方策を導入したとしても実効的な抑止効果が得られにくいケースも散見されました。
よって、今後はより不正対策効果を高めるために、決済の場面(決済前・決済時・決済後)を考慮して、それぞれの場面ごとに対策を導入するという、点ではなく線として考える指針の策定が求められています。
※引用:日本クレジット協会
先程もお話ししましたが、当サイトを運営するかっこ株式会社は、「属性・行動分析」「注文内容・配送先情報」「配送停止」などをまとめて検知できる不正注文検知システム「O-PLUX」を開発・提供しています。
また、「不正ログイン対策」を万全に行うことができる不正アクセス検知システム「O-MOTION」も開発・提供しています。
よって、「O-PLUX」や「O-MOTION」とEMV3-Dセキュアを併用すれば、【5.0版】が掲げている「カード決済前・決済時・決済後」のそれぞれの場面ごとに対策を導入することができるでしょう。
クレジットカード・セキュリティガイドライン【5.0版】が発表されたことで、不正対策を見直したいとお考えの事業者様は、以下をクリックしてお気軽にお問い合わせください。
アクセスから注文まで一貫して対応-かっこの不正検知サービス- 
【4.0版】から変わったこと
前章では、クレジットカード・セキュリティガイドライン【5.0版】の改定ポイントをお話ししてきましたが、どこがどう変わったのかを比較したい事業者もいるでしょう。
そこで、クレジットカード・セキュリティガイドライン【4.0版】から【5.0版】で変わったことを、以下の表にまとめました。
近年の不正傾向や増加に伴い、【4.0版】ではEMV3-Dセキュアは2025年3月末までに全ての加盟店において導入を求めていましたが、【5.0版】では早期に導入着手するように示されました。
また、基本的なセキュリティ対策においては、新規加盟店契約前に「セキュリティ・チェックリスト」記載の対策を実施して、その状況をアクワイアラー・PSPに申告することが求められるようになりました。
なお、「セキュリティ・チェックリスト」については、詳しくは日本クレジット協会セキュリティ対策推進センターまでお問い合わせください。
加盟店がクレジットカード・セキュリティガイドラインに対応しない場合はどうなる?
ここまで、クレジットカード・セキュリティガイドラインによって求められる対策や改訂ポイントについて紹介してきましたが、このガイドラインに対応しない場合はどうなるのか気になる加盟店も多いことでしょう。
クレジットカード・セキュリティガイドラインに対応しない場合は、
- カード会社(アクワイアラー)から加盟店契約の解除
- 加盟店情報交換センター(JDM)で情報交換されて、他のカード会社(アクワイアラー)とも加盟店契約が結べない
- 事業継続に多大なリスク・損失が発生する
などが起こる可能性が非常に高いです。
カード会社(アクワイアラー)が提示する加盟店義務を怠ることがないように、クレジットカード・セキュリティガイドラインを理解して対策を講じるようにしていきましょう。
EC事業者に求められているセキュリティ対策とは
今EC事業者に求められているセキュリティ対策は、不正利用対策の4方策を全てカバーできる重層的な対策です。
※参考:かっこ株式会社|O-PLUX
クレジットカード・セキュリティガイドラインでは、全てのEC事業者に対して2025年3月までにEMV3-Dセキュアの早期導入を求めていますが、実際にはEMV3-Dセキュアだけでは不正対策が十分だと言えません。
基本的なセキュリティ対策に加えてプラスアルファの対策を講じることで、不正アクセスやサイバー攻撃、クレジットカードの不正利用を防ぐことができるのです。
EMV3-Dセキュアと不正注文検知システムの併用がおすすめ
何度もお伝えしている通り、EMV3-Dセキュアだけでは不正対策が十分だと言えません。
そこでおすすめなのが、EMV3-Dセキュアと不正注文検知システム「O-PLUX」や「不正チェッカー」を併用することです。
ユーザーの購買導線はそのままに不正な注文が商品の発送前に分かるので、ECサイトのセキュリティを高めつつカゴ落ちやチャージバックのリスクも抑えることが可能です。
O-PLUXは、国内導入No.1の実績から累計110,000サイトの情報をリアルタイムに分析して、高精度な検知により様々な不正手口に対応できます。
※参考:かっこ株式会社|O-PLUX
また不正チェッカーは、機能はO-PLUXと同様の高精度な検知により「チャージバック対策」「転売対策」「クレジットマスター対策」を業界最安値で対策することができます。
とはいえ、自社に合うシステムなのか、機能は使いやすいかなど、実際に利用してみないと分からない部分もあるでしょう。
まずは気軽にトライアルで試してみることも可能なので、気になる事業者様は以下をクリックしてお問合せください。
1万円で2週間のトライアル利用も受付中!
O-PLUXのトライアルはこちら
\転売・チャージバック対策を業界最安値で/
不正チェッカーの資料DLはこちら
まとめ
クレジットカード・セキュリティガイドライン【5.0版】では、原則全てのEC加盟店にEMV-3Dセキュアの早期導入を求める中で、「不正顕在化加盟店」においては即時導入するように求めています。
セキュリティ対策としては、【4.0版】を基に関係事業者ごとに「対面取引」と「非対面取引」別に、各事業者が講じるべき「カード情報保護対策」「不正利用対策」「周知・啓発等」に関して対策を具体的に示されました。
また、カード不正利用対策として、カード決済前・決済時・決済後のそれぞれの場面ごとに対策を導入するように求められています。
【5.0版】でこのように改定されたのは、EMV-3Dセキュアの導入だけでは不正対策は十分だと言えない現状が明らかになったからです。
近年、EMV-3Dセキュアの導入だけでは不正が突破されてしまうケースも散見されているので、不正利用対策の4方策を全てカバーした対策を行うのが望ましいと言えるでしょう。
よって、国も推奨している不正利用対策の4方策を全てカバーした対策を行うためには、EMV-3Dセキュアと不正注文検知システム「O-PLUX」「不正チェッカー」の併用を検討してみましょう。
クレジットカード・セキュリティガイドラインの目的や背景などを詳しく知りたい場合は、「クレジットカード・セキュリティガイドライン【5.0版】改訂ポイント」に目を通してみてください。
また、EC事業者様においては、以下の不正リスクチェックシートを活用して、自社に合った適切なセキュリティ対策を理解しておきましょう。
\不正リスクのチェックを自分で試せる!/ 
