「クレジットカード・セキュリティガイドラインの最新の内容が知りたい」
「クレジットカード・セキュリティガイドラインで求められていることは?」
など、クレジットカード・セキュリティガイドラインについて分かりやすく説明してほしいと思っている方はいませんか?
2025年3月にクレジットカード・セキュリティガイドライン【6.0】が公表され、従来の【5.0】からどのような改訂が行われたかの発表もされています。
そもそもクレジットカード・セキュリティガイドラインは、クレジットカード取引の安全性を向上させるために、カード会社、加盟店、決済代行業者などの関係事業者が実施するべきクレジットカード情報漏えい・不正利用防止のためのセキュリティ対策の取組をまとめたものです。
この記事では、
- クレジットカード・セキュリティガイドラインで求められていること3つ
- クレジットカード・セキュリティガイドライン【6.0】の改訂ポイント5つ
- EC加盟店に求められている不正利用対策
などを解説していきます。
今回のクレジットカード・セキュリティガイドライン【6.0】では、EC加盟店に求める対策が多く示されているので、必ず最後までお読みいただくようにお願いします。
\かっこ株式会社独自!EC関連550社へのアンケート結果大公開/
無料資料ダウンロードはこちら
目次
クレジットカード・セキュリティガイドラインとは?
クレジットカード・セキュリティガイドラインは、クレジットカード取引の安全性を向上させるために、カード会社、加盟店、決済代行業者などの関係事業者が実施するべきクレジットカード情報漏えい・不正利用防止のためのセキュリティ対策の取組をまとめたものです。
また、技術の進化に応じてガイドラインは定期的に改訂されておりますが、今回は2025年3月に発表された最新のクレジットカード・セキュリティガイドライン【6.0】について解説していきます。
なぜクレジットカード・セキュリティガイドラインが作られたのか、その必要性については、以下で詳しく解説していきます。
クレジットカード・セキュリティガイドラインはなぜ作られたのか
クレジットカード・セキュリティガイドラインは、クレジットカード取引に伴うセキュリティリスクを軽減し、消費者と事業者を保護するために作成されました。
政府の政策として、2025年6月までにキャッシュレス決済比率40%を目指す目標を打ち立てており、2023年の時点でキャッシュレス決済比率は39.3%にまで増加しています。
キャッシュレス決済の中でも、クレジットカード決済は圧倒的なウェイトを占めています。
※引用:経済産業省
しかし、クレジットカード情報の窃取によるECサイトでの不正利用の被害は、依然として高い水準で推移しています。
※引用:日本クレジット協会
このような状況に陥っている背景には、
- ECサイトの設定不備や脆弱性を悪用した不正アクセス
- クレジットマスター攻撃によるクレジットカード情報の窃取
- フィッシング詐欺によるクレジットカード情報を含んだ個人情報の窃取
などが主な原因とされています。
| 原因とされる手口の名称 | 手口の内容 | 詳しく解説している記事 |
|---|---|---|
| クレジットマスター | クレジットカード番号の規則性を悪用し、他人のカード番号を割り出す行為 | |
| フィッシング詐欺 | 実在するサービスや企業になりすまして、偽のメールやSMSから偽サイトに誘導し、IDやパスワードなどの情報を盗んだりマルウェアに感染させたりする手口 |
クレジットカード情報の窃取や不正利用を防止するため、EC加盟店におけるカード情報保護対策およびカード不正利用対策が早急な課題とされています。
クレジットカード・セキュリティガイドライン【6.0】では、EC加盟店において、「脆弱性対策」「不正ログイン対策」の実施、「EMV 3-D セキュア」の導入が義務付けられています。
詳しくは、『3. クレジットカード・セキュリティガイドライン【6.0】の改訂ポイント5つ』で解説しています。
クレジットカード・セキュリティガイドラインで求められていること3つ
クレジットカード・セキュリティガイドラインで、「カード会社」「加盟店」「決済代行業者」などの関係事業者に求められていることは3つあります。
- クレジットカード情報保護対策
- 対面取引におけるクレジットカードの不正利用対策
- 非対面取引におけるクレジットカードの不正利用対策
クレジットカード・セキュリティガイドライン【6.0】では、それぞれどのようなことが求められているのかを、以下で詳しく解説していきます。
1. クレジットカード情報保護対策
クレジットカード情報の保護は、クレジットカード取引に関わる全ての事業関係者の責務です。
クレジットカード情報の漏えいは、主にEC加盟店において発生していることから、今まではカード情報を加盟店で保持しない(非保持化)がセキュリティ対策として有効とされてきました。
しかし、最近のクレジットカード情報の漏えい事故は、非保持化を実現したEC加盟店でも発生しています。
よって、クレジットカード情報の保持または非保持にかかわらず、EC加盟店の自社システムおよびWebサイトの定期的な点検を行い、この点検結果に基づき、追加的な対策を導入するなどの適切な対策を行うことが求められています。
2. 対面取引におけるクレジットカードの不正利用対策
対面取引のクレジットカード不正利用対策では、今まで加盟店の決済端末のIC対応、クレジットカードのIC化普及を目指してきました。
現時点では、加盟店の決済端末のIC対応とクレジットカードのIC化は定着してきており、偽造カードによる不正利用被害は減少傾向にあります。
このことから、クレジットカード・セキュリティガイドライン【6.0】においても、対面取引の不正利用対策としてはIC取引が最も効果的な対策であると明記されています。
3. 非対面取引におけるクレジットカードの不正利用対策
EC加盟店(非対面取引)におけるクレジットカードの不正利用対策は、クレジットカード取引の流れを「線」として捉え、その線上の各タイミングにおいて適切な不正利用対策を講じることが重要とされています。
つまり、以下の「線の考え方」に基づいて、「カード決済前」「カード決済時」「カード決済後」それぞれの場面において適切な不正利用対策を講じる必要があるということです。
従来のクレジットカード・セキュリティガイドラインでは、EC加盟店における不正利用対策として「4つの方策」を個々に導入することが指針とされてきました。
しかし、クレジットマスター攻撃などで窃取したクレジットカード情報を悪用したなりすましの不正利用が増加しており、この「4つの方策」を個々に導入するだけでは、抑止効果が得られにくくなってきました。
よって、クレジットカード・セキュリティガイドライン【6.0】では、EC加盟店の指針対策は「線の考え方」を基本として、
- オーソリゼーション処理の体制整備
- 加盟店契約上の善良なる管理者の注意義務の履行
- 適切な不正ログイン対策の実施
- EMV 3-D セキュアの導入
を実施することとしています。
特に、EMV 3-D セキュアの導入は義務化されているため、まだ導入していないEC加盟店は早急に導入を進めるようにしてください。
「適切な不正ログイン対策の実施」と「EMV 3-D セキュアの導入」については、『2. EC加盟店は「適切な不正ログイン対策の実施」と「EMV 3-D セキュア導入」を義務付ける』で詳しく解説しています。
なお、次章ではクレジットカード・セキュリティガイドライン【5.0】から【6.0】の改訂ポイントを解説していきます。
クレジットカード・セキュリティガイドライン【6.0】の改訂ポイント5つ
クレジットカード・セキュリティガイドライン【6.0】の改訂ポイントは5つです。
- EC加盟店は「脆弱性対策」を実施する
- EC加盟店は「適切な不正ログイン対策の実施」と「EMV 3-D セキュア導入」を義務付ける
- 不正顕在化加盟店は「線の考え方」に基づく不正利用対策を追加導入する
- MO・TO取り扱い加盟店はリスクベースによる適切な対策の導入を行う
- 対面取引加盟店における「PINバイパスの廃止」
それぞれの改訂ポイントは、以下で詳しく解説していきます。
1. EC加盟店は「脆弱性対策」を実施する
クレジットカード・セキュリティガイドライン【6.0】では、EC加盟店のシステムおよびWebサイトにおける、
- ウイルス対策
- 管理者の権限の管理
- デバイス管理等の脆弱性対策の不備を原因としたクレジットカード情報漏えいの防止
として、「脆弱性対策」を実施するようにと明記されました。
EC加盟店が脆弱性対策を実施することは、顧客のクレジットカード情報を守るためには不可欠です。
脆弱性対策を行うことで、不正アクセスやクレジットカード情報を含めた個人情報漏えいのリスクを最小限に抑え、顧客の信頼を維持することができます。
サイバー攻撃が進化する中、クレジットカード・セキュリティガイドライン【6.0】に従い、対策の継続的な更新と強化が必要です。
「脆弱性対策」で行うべき5つの対策
クレジットカード・セキュリティガイドライン【6.0】では、EC加盟店が実施すべき脆弱性対策として以下の内容を挙げています。
▼EC加盟店が導入する「脆弱性対策」5つ
- システム管理画面のアクセス制限と管理者のID・パスワード管理
- データディレクトリ(コンピューター上でファイルを整理・保存する仮想的なフォルダ)の露見に伴う設定不備への対策
- Webアプリケーションの脆弱性対策
- マルウェア対策としてのウイルス対策ソフトの導入、運用
- 悪質な有効性確認、クレジットマスターへの対策
なお、ECサイトの構築・運用を外部に委託する場合は、委託先に対して、上記の「脆弱性対策」を理解した上で構築・運用を行うことが求められています。
2. EC加盟店は「適切な不正ログイン対策の実施」と「EMV 3-D セキュア導入」を義務付ける
クレジットカード・セキュリティガイドライン【6.0】では、「線の考え方」に基づき、カード決済前の「不正ログイン対策の実施」とカード決済時の「EMV 3-Dセキュアの導入」が義務付けられています。
クレジットカード・セキュリティガイドライン【5.0】からの指針対策追加の背景には、
- 「カード決済前」の不正なアカウント登録や本人になりすまして不正ログインをする手口が増えている
- 「カード決済時」の不正利用被害が2024年は過去最高の555億円となった
- 「カード決済後」の悪質な転売が以前から社会問題となっている
などが挙げられ、カード取引の流れに沿って、「カード決済前」「カード決済時」「カード決済後」の各場面を考慮した適切な対策導入が必要であるとされています。
なお、EMV 3-Dセキュアの導入が義務化されていることについては、以下の記事でも詳しく解説しているので本記事と併せて参考にしてください。
「適切な不正ログイン対策」で行うべきことは?
EC加盟店が行うべき「適切な不正ログイン対策」とは、ECサイトへの不正ログイン防止として「カード決済前」の各場面に応じた適切な対策を導入することです。
「線の考え方」によるカード決済前の位置づけや対策が必要な場面については、以下のクレジットカード・セキュリティガイドライン【6.0】に記載されている図をご覧ください。
「適切な不正ログイン対策」の具体的な内容としては、以下のカード決済前の「会員登録」「会員ログイン」「属性情報変更」の各場面を考慮した適切な対策を1つ以上導入することです。
なお、効果的な対策導入の観点から、EC加盟店は上図①~⑦の対策を優先的に導入することが推奨されています。
3. 不正顕在化加盟店は「線の考え方」に基づく不正利用対策を追加導入する
不正顕在化加盟店は、不正利用の発生状況などに応じて、クレジットカード・セキュリティガイドライン【6.0】が掲げる「線の考え方」に基づく不正利用対策から適切な対策の追加導入を行うように指針対策が変更されました。
従来のガイドラインでは、「不正顕在化加盟店」は不正利用対策の4方策のうち2方策以上を導入することと明記されていました。
しかし、加盟店の取扱商品などにより「不正アカウント作成」や「アカウント乗っ取り」などの手口が異なり、これまでの4方策では実効的な抑止効果が得られにくくなってきました。
このことから、見出し冒頭でもお伝えしたように、「線の考え方」に基づく不正利用対策から適切な対策の追加導入を行うことと指針対策が変更されました。
4. MO・TO取り扱い加盟店はリスクベースによる適切な対策の導入を行う
MO・TO取引の取扱に関しては、EC取引併用の事業者も多く、クレジットカード・セキュリティガイドライン【6.0】ではリスクベースによる適切な対策の導入を行うことに指針対策が変更されました。
具体的な変更後指針対策として、
- オーソリゼーション処理の体制整備
- 加盟店契約上の善良なる管理者の注意義務の履行
- リスクや被害状況に応じた非対面不正利用対策の導入
を行うことと明記されています。
このように、MO・TO取り扱い加盟店は、非対面取引のリスクを軽減するためにリスクベースのアプローチを採用する必要があります。
5. 対面取引加盟店における「PINバイパスの廃止」
2025年4月から対面取引加盟店における「PINバイパスの廃止」が行われる旨が、クレジットカード・セキュリティガイドライン【6.0】に明記されました。
2025年3月までは、盗難カードによる不正利用の防止および暗証番号を忘れたときの救済措置として、サインで本人認証を行うことが認められています。
しかし、サインでの本人認証は本人確認効果を有さないことから、2025年4月からはクレジットカードの暗証番号入力が必須化します。
「PINバイパスの廃止」については、以下の記事で詳しく解説しておりますので、気になる方はお読みください。
【5.0】から【6.0】で変わったことのまとめ
クレジットカード・セキュリティガイドラインは、時代の変化や新たな脅威に対応するために定期的に改訂されます。
クレジットカード・セキュリティガイドライン【5.0】から【6.0】で変わったことを以下の表にまとめましたのでご覧ください。
| 指針変更の項目 | 【5.0】の内容 | 【6.0】の内容 |
|---|---|---|
| EC加盟店におけるカード情報保護対策 | カード情報を保持しない非保持化、またはカード情報を保持する場合はPCI DSSに準拠する (※【6.0】でも継続) |
システムおよびWebサイトの「脆弱性対策」の実施を行うこと (※詳しくは『1. EC加盟店は「脆弱性対策」を実施する』で解説) |
| EC加盟店における不正利用対策 |
|
「線の考え方」に基づき、カード決済前の「不正ログイン対策の実施」とカード決済時の「EMV 3-Dセキュアの導入」が義務化 (※詳しくは『2. EC加盟店は「適切な不正ログイン対策の実施」と「EMV 3-D セキュア導入義務」がある』で解説) |
| 不正顕在化加盟店・高リスク商材取扱加盟店における不正利用対策 | 「高リスク商材取扱加盟店」は、本ガイドラインが掲げる4つの方策のうち1方策以上、「不正顕在化加盟店」は2方策以上を導入 (※【6.0】では終了) |
不正顕在化加盟店は不正利用の発生状況などに応じて、「線の考え方」に基づく不正利用対策から適切な対策の追加導入を行う(※詳しくは『3. 不正顕在化加盟店は「線の考え方」に基づく不正利用対策を追加導入する』で解説) |
| MO・TO取引を取り扱う加盟店における不正利用対策 |
|
リスクベースによる適切な対策の導入を行う(※詳しくは『4. MO・TO取り扱い加盟店はリスクベースによる適切な対策の導入を行う』で解説) |
| 対面取引加盟店における不正利用対策 | ー | 2025年4月から対面取引加盟店における「PINバイパスの廃止」(※詳しくは『5. 対面取引加盟店における「PINバイパスの廃止」』で解説) |
クレジットカード・セキュリティガイドライン【5.0】から【6.0】の改訂により、対面取引・非対面取引におけるセキュリティが一層向上し、カードの不正利用リスクが低減されることが期待されています。
クレジットカード・セキュリティガイドラインに違反するとどうなる?
クレジットカード・セキュリティガイドラインに違反または対応しない場合は、次のようなリスクが発生する可能性が高まります。
- カード会社(アクワイアラー)から加盟店契約の解除
- 加盟店情報交換センター(JDM)で情報交換されて、他のカード会社(アクワイアラー)とも加盟店契約が結べない
- 事業継続に多大なリスク・損失が発生する
クレジットカード・セキュリティガイドラインに違反または対応せずに顧客のカード情報が漏えいした場合、法的責任や多額の賠償金を負う可能性があります。
以下の記事では、情報漏えいを起こしてしまうとどんな罰則やリスクがあるのかについて解説していますので、本記事と併せて読んでみて下さい。
また、カード会社からの加盟店契約の解除や不正顕在化加盟店としていわゆるブラックリストに登録されてしまい、他のカード会社とも加盟店契約が結べないリスクもあります。
そうなると、顧客とカード会社からの信用を失い、ブランドイメージの低下はもちろんのこと、多大な損失が発生することになるでしょう。
つまり、クレジットカード・セキュリティガイドラインを遵守することは、リスク回避とビジネスの安定に重要です。
EC加盟店に求められている不正利用対策は「線の考え方」に基づく対策
クレジットカード・セキュリティガイドライン【6.0】ではEC加盟店に対して、「線の考え方」に基づき、カード決済前の「不正ログイン対策の実施」とカード決済時の「EMV 3-Dセキュアの導入」が義務付けられています。
もう一度、「線の考え方」を説明している図をご覧ください。
最近ではフィッシング詐欺などで窃取したログイン情報を使って、本人になりすましてECサイトに不正ログインをする手口が増えています。
企業が行うべきフィッシング詐欺対策については、以下の記事で詳しく解説していますので本記事と併せて参考にしてください。
また、クレジットマスター攻撃やフィッシング詐欺などで窃取したクレジットカード情報を使って、ECサイトでカードを不正利用される被害も年々増加していています。
よって、従来のガイドラインで求めていた、クレジットカードの決済前・決済時・決済後を考慮して、それぞれの場面ごとに対策を導入するという考えは変わらずに、「不正ログイン対策の実施」と「EMV 3-Dセキュアの導入」を義務化するといった強めの姿勢に変わりました。
不正ログイン対策といっても、いくつもの対策方法がありますが、クレジットカード・セキュリティガイドライン【6.0】を遵守するためには、不正検知サービスの導入が最も有効です。
不正検知サービスの概要や、おすすめの不正検知サービスについては、以下で詳しく解説します。
「線の考え方」に基づく対策ではかっこの不正検知サービスの導入がおすすめ
「線の考え方」に基づく対策では、当サイトを運営するかっこ株式会社の不正検知サービス「O-PLUX」の導入がおすすめです。
まず、不正検知サービス「O-PLUX」とは、正しいID・パスワードによるアクセスであっても、本人によるものか不正ログインであるかをリアルタイムに検知するクラウドサービスです。
例えばECサイト向け不正検知サービス「O-PLUX」では、不正ログインによる個人情報漏洩や、クレジットカードの不正利用などの不正注文を防ぐことができます。
※参考:かっこ株式会社
O-PLUXがカード決済前の会員登録や会員ログインの際に、どのように機能しているのかは以下の図をご覧ください。
※参考:かっこ株式会社
また、O-PLUXはカード決済前の不正検知だけではなく、カード決済時・決済後の不正も一貫して見抜くことができます。
クレジットカード・セキュリティガイドライン【6.0】がEC加盟店に対して求めている「不正ログイン対策の実施」を行うためには、「O-PLUX」の導入は最も効果的な対策だと言えるでしょう。
不正検知サービス「O-PLUX」についてもっと詳しく話しを聞いてみたいEC加盟店様は、以下をクリックしてお気軽にお問い合わせください。
-8-1000x300.png)
1万円で2週間のトライアル利用も受付中!
O-PLUXのトライアルはこちら
なお、「EMV 3-Dセキュアの導入」が義務化されていますが、EMV 3-Dセキュアだけでは不正利用対策として不十分であることは覚えておきましょう。
なぜなら、EMV 3-Dセキュアがすり抜けられてしまい、カード不正利用の被害が発生しているケースがいくつか確認されているからです。
EMV 3-Dセキュアだけではカード決済時における不正利用対策として不十分であることについては、以下の記事でも詳しく解説しています。
つまり、カード決済時のEMV 3-Dセキュアの導入だけではなく、カード決済前の不正ログイン対策、カード決済後の不正転売対策なども併せて行う必要があります。
EMV 3-Dセキュアでは不十分なカード決済時、カード決済後の不正転売対策までまとめて対策したい場合も、不正検知サービス「O-PLUX」の導入がおすすめです。
「O-PLUX」は、国内で最も導入されている不正検知サービス(※)で、高精度な検知により、累計120,000サイト以上に導入していただいています。※2025年3月末日時点。株式会社東京商工リサーチ「日本国内のECサイトにおける有償の不正検知サービス導入サイト件数調査」による
\導入企業様のインタビューを公開中!/
導入事例一覧はこちら
「O-PLUX」がどう優れているのかは、以下の機能を見ても分かるように、注文に不審な点がないかを複数の要素からリアルタイムに解析しています。
※参考:Cacco Inc.
不正検知サービス「O-PLUX」について、もっと話しを聞いてみたいというEC加盟店様は、以下をクリックしてお気軽にお問い合わせください。
1万円で2週間のトライアル利用も受付中!
O-PLUXのトライアルはこちら
まとめ
クレジットカード・セキュリティガイドラインは、現代の非対面取引や対面取引におけるクレジットカードの不正利用リスクを最小限に抑えるために設けられた重要な指針です。
クレジットカード・セキュリティガイドライン【6.0】の改訂ポイントは5つです。
- EC加盟店は「脆弱性対策」を実施する
- EC加盟店は「適切な不正ログイン対策の実施」と「EMV 3-D セキュア導入」を義務付ける
- 不正顕在化加盟店は「線の考え方」に基づく不正利用対策を追加導入する
- MO・TO取り扱い加盟店はリスクベースによる適切な対策の導入を行う
- 対面取引加盟店における「PINバイパスの廃止」
特にEC加盟店にとって、クレジットカード・セキュリティガイドラインを理解し実行することは、顧客の安全を守るだけでなく、信頼性を高めるためにも欠かせません。
EC加盟店に求められている不正利用対策は、改訂ポイントにもある通り、「線の考え方」に基づいたカード決済前の「不正ログイン対策の実施」とカード決済時の「EMV 3-Dセキュアの導入」の義務化です。
「不正ログイン対策」においてはあらゆる対策がありますが、ガイドラインに遵守できて、かつ最も効果的なのが「不正検知サービス」の導入です。
当サイトを運営するかっこ株式会社の不正検知サービス「O-PLUX」なら、「線の考え方」に基づいたカード決済前の「不正ログイン対策」を万全に行うことができます。
不正検知サービス「O-PLUX」について興味があるEC加盟店様は、以下をクリックしてお気軽にお問い合わせください。
1万円で2週間のトライアル利用も受付中!
O-PLUXのトライアルはこちら
なお、導入が義務化されているEMV 3-Dセキュアは、実際にすり抜けられてしまうケースも発生していることから、不正利用対策としては不十分です。
EMV 3-Dセキュアでは対策として弱いカード決済時の強化を行うことに加えて、カード決済後の不正転売などもまとめて対策できる不正検知サービス「O-PLUX」を導入するのがおすすめです。
EC加盟店は、導入が義務化されているEMV 3-Dセキュアと不正検知サービスを導入して、クレジットカード・セキュリティガイドライン【6.0】に遵守していきましょう。
