「クレジットカード・セキュリティガイドライン【3.0版】が発表されたけれど、注目すべきポイントがどこか分かりにくい」
「クレジットカード・セキュリティガイドライン【3.0版】の要点を知りたい」
このように悩んでいるカード加盟店・EC事業者の方に向けて、本記事ではクレジットカード・セキュリティガイドライン【3.0版】の主な改訂ポイントを紹介しています。
クレジットカード・セキュリティガイドラインについて理解を深めたい方は、ぜひご一読ください。
目次
クレジットカード・セキュリティガイドライン【3.0版】が公開
2022年3月8日に「クレジット取引セキュリティ対策協議会第8回本会議」が開催され、クレジットカード・セキュリティガイドラインの【3.0版】が改訂されました。
そもそもクレジットカード・セキュリティガイドラインとは何か、どのような点が改訂されたのかご紹介します。
クレジットカード・セキュリティガイドラインとは
クレジットカード・セキュリティガイドラインの概要は以下のとおりです。
「クレジットカード・セキュリティガイドライン」とは、安全・安心なクレジットカード利用環境を整備するため、クレジットカード取引に関わるカード会社、加盟店、決済代行業者等の関係事業者が実施するべきクレジットカード情報漏えい・不正利用防止のためのセキュリティ対策の取組を取りまとめたものです。
引用:経済産業省
つまり、クレジットカード・セキュリティガイドラインはクレジットカードを取り扱っている事業者が取り組むべきセキュリティ対策の概要をまとめたものです。
クレジットカード・セキュリティガイドラインの概要やガイドラインの対象となるクレジットカードについて詳しく知りたい方は、下記記事をチェックしてみてください。
3.0版の主な改訂ポイント
クレジットカード・セキュリティガイドライン【3.0版】で改訂があったポイントは、大きく分けて以下の2つがあります。
- カード情報の保護
- カードの不正利用対策
改訂があったポイントは、オフラインでの対面取引とオンライン取引の2つに分けることができます。
具体的にどのような改訂が加えられたのか、まずはオンライン取引における対策のポイントを詳しく見てみましょう。
オンライン取引での主な改訂ポイント
オンライン取引における主な改訂ポイントは以下の2つです。
- クレジットカード情報の保護
- クレジットカードの不正利用対策
クレジットカードを悪用されないようサイトの脆弱性を改善したり、EMV3-Dセキュア(3Dセキュア2.0)を導入したりすることが推奨されています。
具体的にどういうことか、ガイドラインではどのような対策が紹介されているのか詳しく見てみましょう。
【ポイント1】クレジットカード情報の保護
クレジットカード・セキュリティガイドライン【3.0版】では、クレジットカード情報のさらなる保護強化の必要性が訴えられています。
実際、2021年1~12月の間に行われたクレジットカード不正利用被害のうち、番号盗用による不正利用が全体の約95%を占めています。
このような背景から、クレジットカード会社や加盟店は番号が流出しないよう以下のような取り組みを行ってきました。
- 【クレジットカード会社】PCI DSS準拠相当への対応
- 【加盟店等】クレジットカード情報の非保持化、IC端末での決済推進
クレジットカード・セキュリティガイドライン【3.0版】では、上記の対策に加えてECサイトの脆弱性対策やPCI DSSバージョンアップ対応といった事項が新たに盛り込まれています。
ECサイトの脆弱性対策は具体的にどのようなことを行うべきなのか、詳しくご紹介します。
【対策1】ECサイトの脆弱性対策
EC事業者は自社サイトの脆弱性を悪用された不正行為を無くすため、ウイルス対策やデバイス管理の徹底といった対策が求められています。
クレジットカード・セキュリティガイドライン【3.0版】では、ECサイトの脆弱性対策として取り組むべきポイントが公開されました。
- サイバーセキュリティに対応できる人材育成
- 定期的にセキュリティの脆弱性を診断する
- 管理体制の整備(監視・報告・情報収集および共有の体制を整える)
人材育成をすることで適切なウイルス対策ソフトを導入・運用しやすくなりますし、デバイス管理を徹底することでPCの紛失といった管理ミスも防ぎやすくなります。
しかし人材育成や管理体制の整備には時間と手間がかかるため、セキュリティ対策セミナーに担当者を参加させたりセキュリティ診断の定期実施日を決めたりといった対策を今から進めましょう。
【対策2】PCI DSSの準拠
クレジットカード会社は2024年4月からPCI DSS v4.0が適用されるため、今のうちに対応を進めましょう。
PCI DSSとは、クレジットカード会員データの安全な取り扱いについて定めたセキュリティ基準のことで、現行のPCI DSS v3.2.1からの移行期間は2024年3月末に終了します。
PCI DSSについて理解を深めたい方やこの機会に認定を取得したい方は、「日本カード情報セキュリティ協議会」のページを参考にしてください。
【ポイント2】クレジットカードの不正利用対策
クレジットカード・セキュリティガイドライン【3.0版】では、クレジットカードの不正利用対策についても言及されています。
言及されている背景としては、クレジットカードの不正利用による被害額が増加傾向にあることが挙げられます。
クレジットカードの不正利用を防ぐ方法として、クレジットカード・セキュリティガイドライン【3.0版】では「EMV3-Dセキュアの導入推進」と「不正利用検知モニタリングの実施」が取り上げられています。
どのような対策なのか、詳しく見てみましょう。
【対策1】EMV3-Dセキュアの導入推進
クレジットカード・セキュリティガイドライン【3.0版】ではクレジットカード会社や加盟店等に対して、EMV3-Dセキュア(3Dセキュア2.0)の導入推進を求めています。
EMV3-Dセキュアとは不正なアクセスを検知する仕組みのことで、不正利用の疑いがある場合に追加認証を求める「リスクベース認証」が採用されています。
EMV3-Dセキュアを導入するメリットは以下のとおりです。
- なりすましによる不正アクセスを防ぐことができる
- 正規ユーザーは追加認証を求められにくいため、かご落ちリスクを減らせる
- スマホアプリにも対応しており、モバイルデバイスでもセキュリティ対策を行いやすい
EMV3-Dセキュアについては下記記事で解説しているため、理解を深めたい方や導入を検討している方はぜひ参考にしてください。
【対策2】不正利用検知モニタリングの実施
クレジットカード・セキュリティガイドライン【3.0版】ではクレジットカード会社に対して、不正利用への対策として取引のモニタリング実施について言及されています。
決済取引をモニタリングすると不正利用をすぐ検知しやすくなり、不正が確認された場合は取引の停止やクレジットカードの交換を行う、といった対策をとることができます。
クレジットカード会社では不正利用検知システムを導入し、24時間365日体制でモニタリングを実施しているところもあります。不正利用検知システムについては下記記事でも解説しているため、ぜひ参考にしてください。
オフライン取引の主な改訂ポイント
クレジットカード・セキュリティガイドライン【3.0版】では、対面などオフライン取引でのセキュリティについても言及されています。
【3.0版】での主な改訂ポイントは、以下の3つです。
- PINバイパスの廃止
- サイン取得の任意化
- 本人確認不要取引の見直し
大きな流れとしては、店頭で所有者自らがクレジットカードかざしたり挿入したりするなど商慣習の変化により、従来の本人確認の方法を見直す動きが出てきています。
まずはPINバイパスの廃止について、詳しく見てみましょう。
【ポイント1】PINバイパスの廃止
PINバイパスとは暗証番号を入力する代わりにサインで本人確認を行う方法のことですが、これは2025年3月をもって原則廃止となります。
暗証番号の入力をスキップして取引できてしまうことからクレジットカードの不正利用が発生する恐れがあるため、今後は原則として全てのカードで利用できなくなる方針です。
加盟店は廃止に向けて、PINバイパスによる取引を行わないなど対応をすすめていく必要があります。
【ポイント2】サイン取得の任意化
クレジットカード・セキュリティガイドライン【3.0版】では2025年3月を目途に、本人確認としての「サイン」取得は加盟店の任意としつつ推奨しないようにと記載されています。
国際ブランドのルール変更や自分で端末にクレジットカードをかざすなど使用方法の変化といった背景から、サインの本人確認の有効性は世界的に低下していることが背景にあります。
PINバイパスの廃止にも通じますが、加盟店としてはサインによる本人確認に頼らない決済を行うよう、ルールを見直す必要があります。
【ポイント3】本人確認不要取引の見直し
クレジットカード・セキュリティガイドライン【3.0版】では本人確認不要取引(NoCVM)の見直しを行ったと記載されています。
見直しを行った結果、ガイドラインでは
- 「クレジット取引における本人確認方法に係るガイドライン」で規定する「本人確認が必要となる業種/売場/商品等」に該当しない
- カード会社が定める本人確認を不要とする上限額(CVMリミット金額)に達していない
といった条件を満たしているのであれば本人確認を行わずにクレジットカードで取引を行える、と記載されています。
加盟店はCVMリミット金額の確認や本人確認が不要なケースについて、クレジットカード会社に確認したりガイドラインを参照したりするなど理解を深めていくことが求められます。
まとめ
クレジットカード・セキュリティガイドライン【3.0版】ではクレジットカード情報の保護と不正利用への対策、オフライン取引での本人確認方法についての改訂がありました。
目的や背景などを詳しく知りたい方は、クレジット取引セキュリティ対策協議会が公開している「クレジットカード・セキュリティガイドライン【3.0版】改訂ポイント」を参考にしてください。
また、クレジットカード不正利用の現状について最新の情報を確認したい方は、最新の被害のデータをまとめた下記資料をぜひチェックしてみてください。