不正検知・ノウハウ

  •  PR 

クレジットカード・セキュリティガイドライン【3.0版】のポイントを解説

「クレジットカード・セキュリティガイドライン【3.0版】が発表されたけれど、注目すべきポイントがどこか分かりにくい」
「クレジットカード・セキュリティガイドライン【3.0版】の要点を知りたい」

このように悩んでいるカード加盟店・EC事業者の方に向けて、本記事ではクレジットカード・セキュリティガイドライン【3.0版】の主な改訂ポイントを紹介しています。

クレジットカード・セキュリティガイドラインについて理解を深めたい方は、ぜひご一読ください。

\かっこ株式会社調査まとめ!近年のクレカ不正とは?/ クレジットカード不正利用まとめ

クレジットカード・セキュリティガイドライン【3.0版】が公開

2022年3月8日に「クレジット取引セキュリティ対策協議会第8回本会議」が開催され、クレジットカード・セキュリティガイドラインの【3.0版】が改訂されました。

そもそもクレジットカード・セキュリティガイドラインとは何か、どのような点が改訂されたのかご紹介します。

クレジットカード・セキュリティガイドラインとは

クレジットカード・セキュリティガイドラインの概要は以下のとおりです。

「クレジットカード・セキュリティガイドライン」とは、安全・安心なクレジットカード利用環境を整備するため、クレジットカード取引に関わるカード会社、加盟店、決済代行業者等の関係事業者が実施するべきクレジットカード情報漏えい・不正利用防止のためのセキュリティ対策の取組を取りまとめたものです。

引用:経済産業省

つまり、クレジットカード・セキュリティガイドラインはクレジットカードを取り扱っている事業者が取り組むべきセキュリティ対策の概要をまとめたものです。

クレジットカード・セキュリティガイドラインの概要やガイドラインの対象となるクレジットカードについて詳しく知りたい方は、下記記事をチェックしてみてください。

3.0版の主な改訂ポイント

クレジットカード・セキュリティガイドライン【3.0版】で改訂があったポイントは、大きく分けて以下の2つがあります。

  1. カード情報の保護
  2. カードの不正利用対策

改訂があったポイントは、オフラインでの対面取引とオンライン取引の2つに分けることができます。

具体的にどのような改訂が加えられたのか、まずはオンライン取引における対策のポイントを詳しく見てみましょう。

オンライン取引での主な改訂ポイント

オンライン取引における主な改訂ポイントは以下の2つです。

  1. クレジットカード情報の保護
  2. クレジットカードの不正利用対策

クレジットカードを悪用されないようサイトの脆弱性を改善したり、EMV3-Dセキュア(3Dセキュア2.0)を導入したりすることが推奨されています。

具体的にどういうことか、ガイドラインではどのような対策が紹介されているのか詳しく見てみましょう。

【ポイント1】クレジットカード情報の保護

クレジットカード・セキュリティガイドライン【3.0版】では、クレジットカード情報のさらなる保護強化の必要性が訴えられています。

実際、2021年1~12月の間に行われたクレジットカード不正利用被害のうち、番号盗用による不正利用が全体の約95%を占めています。

このような背景から、クレジットカード会社や加盟店は番号が流出しないよう以下のような取り組みを行ってきました。

  • 【クレジットカード会社】PCI DSS準拠相当への対応
  • 【加盟店等】クレジットカード情報の非保持化、IC端末での決済推進

クレジットカード・セキュリティガイドライン【3.0版】では、上記の対策に加えてECサイトの脆弱性対策やPCI DSSバージョンアップ対応といった事項が新たに盛り込まれています。

ECサイトの脆弱性対策は具体的にどのようなことを行うべきなのか、詳しくご紹介します。

【対策1】ECサイトの脆弱性対策

EC事業者は自社サイトの脆弱性を悪用された不正行為を無くすため、ウイルス対策やデバイス管理の徹底といった対策が求められています。

クレジットカード・セキュリティガイドライン【3.0版】では、ECサイトの脆弱性対策として取り組むべきポイントが公開されました。

  • サイバーセキュリティに対応できる人材育成
  • 定期的にセキュリティの脆弱性を診断する
  • 管理体制の整備(監視・報告・情報収集および共有の体制を整える)

人材育成をすることで適切なウイルス対策ソフトを導入・運用しやすくなりますし、デバイス管理を徹底することでPCの紛失といった管理ミスも防ぎやすくなります。

しかし人材育成や管理体制の整備には時間と手間がかかるため、セキュリティ対策セミナーに担当者を参加させたりセキュリティ診断の定期実施日を決めたりといった対策を今から進めましょう。

【対策2】PCI DSSの準拠

クレジットカード会社は2024年4月からPCI DSS v4.0が適用されるため、今のうちに対応を進めましょう。

PCI DSSとは、クレジットカード会員データの安全な取り扱いについて定めたセキュリティ基準のことで、現行のPCI DSS v3.2.1からの移行期間は2024年3月末に終了します。

PCI DSSについて理解を深めたい方やこの機会に認定を取得したい方は、「日本カード情報セキュリティ協議会」のページを参考にしてください。

【ポイント2】クレジットカードの不正利用対策

クレジットカード・セキュリティガイドライン【3.0版】では、クレジットカードの不正利用対策についても言及されています。

言及されている背景としては、クレジットカードの不正利用による被害額が増加傾向にあることが挙げられます。

クレジットカードの不正利用を防ぐ方法として、クレジットカード・セキュリティガイドライン【3.0版】では「EMV3-Dセキュアの導入推進」と「不正利用検知モニタリングの実施」が取り上げられています。

どのような対策なのか、詳しく見てみましょう。

【対策1】EMV3-Dセキュアの導入推進

クレジットカード・セキュリティガイドライン【3.0版】ではクレジットカード会社や加盟店等に対して、EMV3-Dセキュア(3Dセキュア2.0)の導入推進を求めています。

EMV3-Dセキュアとは不正なアクセスを検知する仕組みのことで、不正利用の疑いがある場合に追加認証を求める「リスクベース認証」が採用されています。

EMV3-Dセキュアを導入するメリットは以下のとおりです。

  • なりすましによる不正アクセスを防ぐことができる
  • 正規ユーザーは追加認証を求められにくいため、かご落ちリスクを減らせる
  • スマホアプリにも対応しており、モバイルデバイスでもセキュリティ対策を行いやすい

EMV3-Dセキュアについては下記記事で解説しているため、理解を深めたい方や導入を検討している方はぜひ参考にしてください。

【対策2】不正利用検知モニタリングの実施

クレジットカード・セキュリティガイドライン【3.0版】ではクレジットカード会社に対して、不正利用への対策として取引のモニタリング実施について言及されています。

決済取引をモニタリングすると不正利用をすぐ検知しやすくなり、不正が確認された場合は取引の停止やクレジットカードの交換を行う、といった対策をとることができます。

クレジットカード会社では不正利用検知システムを導入し、24時間365日体制でモニタリングを実施しているところもあります。不正利用検知システムについては下記記事でも解説しているため、ぜひ参考にしてください。

オフライン取引の主な改訂ポイント

クレジットカード・セキュリティガイドライン【3.0版】では、対面などオフライン取引でのセキュリティについても言及されています。

【3.0版】での主な改訂ポイントは、以下の3つです。

  1. PINバイパスの廃止
  2. サイン取得の任意化
  3. 本人確認不要取引の見直し

大きな流れとしては、店頭で所有者自らがクレジットカードかざしたり挿入したりするなど商慣習の変化により、従来の本人確認の方法を見直す動きが出てきています。

まずはPINバイパスの廃止について、詳しく見てみましょう。

【ポイント1】PINバイパスの廃止

PINバイパスとは暗証番号を入力する代わりにサインで本人確認を行う方法のことですが、これは2025年3月をもって原則廃止となります。

暗証番号の入力をスキップして取引できてしまうことからクレジットカードの不正利用が発生する恐れがあるため、今後は原則として全てのカードで利用できなくなる方針です。

加盟店は廃止に向けて、PINバイパスによる取引を行わないなど対応をすすめていく必要があります。

【ポイント2】サイン取得の任意化

クレジットカード・セキュリティガイドライン【3.0版】では2025年3月を目途に、本人確認としての「サイン」取得は加盟店の任意としつつ推奨しないようにと記載されています。

国際ブランドのルール変更や自分で端末にクレジットカードをかざすなど使用方法の変化といった背景から、サインの本人確認の有効性は世界的に低下していることが背景にあります。

PINバイパスの廃止にも通じますが、加盟店としてはサインによる本人確認に頼らない決済を行うよう、ルールを見直す必要があります。

【ポイント3】本人確認不要取引の見直し

クレジットカード・セキュリティガイドライン【3.0版】では本人確認不要取引(NoCVM)の見直しを行ったと記載されています。

見直しを行った結果、ガイドラインでは

  • 「クレジット取引における本人確認方法に係るガイドライン」で規定する「本人確認が必要となる業種/売場/商品等」に該当しない
  • カード会社が定める本人確認を不要とする上限額(CVMリミット金額)に達していない

といった条件を満たしているのであれば本人確認を行わずにクレジットカードで取引を行える、と記載されています。

加盟店はCVMリミット金額の確認や本人確認が不要なケースについて、クレジットカード会社に確認したりガイドラインを参照したりするなど理解を深めていくことが求められます。

まとめ

クレジットカード・セキュリティガイドライン【3.0版】ではクレジットカード情報の保護と不正利用への対策、オフライン取引での本人確認方法についての改訂がありました。

目的や背景などを詳しく知りたい方は、クレジット取引セキュリティ対策協議会が公開している「クレジットカード・セキュリティガイドライン【3.0版】改訂ポイント」を参考にしてください。

また、クレジットカード不正利用の現状について最新の情報を確認したい方は、最新の被害のデータをまとめた下記資料をぜひチェックしてみてください。

\かっこ株式会社調査まとめ!近年のクレカ不正とは?/ クレジットカード不正利用まとめ

ピックアップ記事

  1. 不正アクセスを検知する「不正検知システム」とは?
  2. サイバー攻撃とは?26個の手口と未然に防ぐ対策を徹底解説【事例あり】
  3. なりすましによる不正アクセスの被害内容と具体的な対策(不正検知)について
  4. 【購入者から見る後払い決済】利用手順やメリット・デメリット、未払い時の対応は?
  5. 不正検知サービスは無料で利用できる?選ぶポイントやコストを抑えて導入できるサービ…

関連記事

  1. 不正検知・ノウハウ

    EC受注の拡大と安全性に関する講演レポート「かっこ株式会社」

    売上拡大に繋がるECサイトの構築手法や在庫管理のノウハウについて、20…

  2. ニュース・業界動向

    キャッシュレスとは?増加で起こる消費者・事業者の変化を解説

    2019年10月の消費税率引上げに伴い、さらに注目されているキャッシュ…

  3. 不正検知・ノウハウ

    メタバースでなりすましされた場合のリスクとは?対策6つを紹介!

    「メタバースでもなりすましによる不正は起こるの?」「メタバースを利…

  4. プレ値とは

    ニュース・業界動向

    プレ値とは?プレ値がつきやすい商品やフリマアプリで購入する時に気を付けることを紹介

    「プレ値ってなに?」「フリマアプリでプレ値商品を購入する時に気を付…

EC不正事業者セルフチェックシート
漫画3匹の子豚でわかるどこよりもわかりやすいWebセキュリティ入門
漫画ウサギとカメでわかるどこよりもわかりやすいEC不正注文対策 無料ダウンロード

おすすめ記事

  1. チャージバックとは?不正が起こる原因と事業者が行うべき5つの…
  2. 【2024年最新】クレジットカードの不正利用被害は過去最高額…
  3. フィッシングサイトを検知する3つの方法!企業が受ける被害例も…
  4. 3Dセキュア2.0を導入後も不正注文対策は必要!理由とおすす…
  5. QRコード決済は危険?不正利用される原因や安全に使える電子決…
漫画3匹の子豚でわかるどこよりもわかりやすいWebセキュリティ入門

お役立ち資料

いざという時に。不正アクセス被害後の対応手順マニュアル
  1. セキュリティ用語

    決済とは?代表的な種類や選び方、決裁との違いなどを解説
  2. 不正アクセス

    不正アクセスとは?主な4つの手口と対策、被害事例を紹介
  3. 不正アクセス

    ポイントの不正を防ぐ対策とは?ユーザー視点・事業者視点に分けて解説
  4. 不正検知・ノウハウ

    定期購入の受取拒否や無視は可能?トラブルを避ける方法や対処法を解説
  5. 不正検知・ノウハウ

    割賦販売法の改正に伴い発表された「実行計画」の内容を解説
PAGE TOP