不正検知・ノウハウ

クレジットカード・セキュリティガイドライン【4.0版】のポイントを解説

「クレジットカード・セキュリティガイドラインについて知りたい」
「クレジットカード・セキュリティガイドライン【4.0版】の改正ポイントは何?」

など、クレジットカード・セキュリティガイドラインについて分かりやすく説明してほしいと思っている事業者様が多いです。

クレジットカード・セキュリティガイドラインは、2020年3月に公表されたもので、クレジットカード決済を導入する事業者を含む関連業者による健全な取引と消費者の保護を目指しています。

この記事では、

  • クレジットカード・セキュリティガイドラインとは
  • クレジットカード・セキュリティガイドライン【4.0版】の改定ポイント3つ
  • EC事業者に求められているセキュリティ対策とは

などを解説していきます。

クレジットカード・セキュリティガイドラインについて理解を深めたい事業者様は、ぜひご一読ください。

\かっこ株式会社独自調査まとめ!近年のクレカ不正とは?/ クレカ不正の現状_2023

クレジットカード・セキュリティガイドラインとは

クレジットカード・セキュリティガイドラインとは、安全・安心なクレジットカード利用環境を整備するため、クレジットカード取引に関わるカード会社、加盟店、決済代行業者等の関係事業者が実施するべきクレジットカード情報漏えい・不正利用防止のためのセキュリティ対策の取組を取りまとめたものです。

また、クレジットカード・セキュリティガイドラインは、割賦販売法に規定するセキュリティ対策義務の「実務上の指針」として位置づけられています。

割賦販売法とは、代金を分割して支払う割賦(かっぷ)販売にて、公正で健全な取引を維持し、消費者を保護するための法律

クレジットカード・セキュリティガイドラインに「指針対策」として掲げられている措置またはそれと同等以上の措置を適切に講じている場合には、同法で定めるセキュリティ対策の基準を満たしていると認められます。(引用:経済産業省)

クレジットカード・セキュリティガイドラインで定める対策3つ

クレジットカード・セキュリティガイドラインで定める対策は主に3つです。

  1. 情報保護対策
  2. 対面決済における不正利用対策
  3. 非対面決済における不正利用対策

それぞれどのような対策なのかを、以下で詳しく解説していきます。

1. 情報保護対策

情報漏洩に対抗するために、対面決済・非対面決済のいずれの場合でも、クレジットカード情報の非保持化またはPCI DSS準拠が定められています。

クレジットカード情報の非保持化とは、クレジットカード情報を自社のネットワークに保存・処理・通過をさせないこと

非保持化対応を実施することで、外部からの侵入によるクレジットカードの情報漏洩は防ぐことが可能と考えらえています。

クレジットカードの非保持化

2. 対面決済における不正利用対策

対面決済における不正利用対策では、クレジットカードのIC化100%を目指すことが挙げられます。

クレジットカード・セキュリティガイドラインでは、2020年3月に偽造カード被害の抑制を目的としてクレジットカードのIC化を定めていて、その結果偽造カード被害額が大幅に減少した成果を残しています。

よって、この対策は一定の成果を収めているため、引き続きカード会社によるクレジットカードのIC化を進めていくこととなります。

3. 非対面決済における不正利用対策

非対面決済における不正利用対策では、クレカ不正の手口が巧妙化してきていることから、重層的な不正利用対策として4方策の導入を掲げています。

これにより、本人認証の一つであるEMV3-Dセキュアは、2025年3月末までに全ての加盟店対象が導入必須となりました。

また、高リスク加盟店・不正顕在化加盟店に該当する場合は、複数のサービスを導入するように求められています。

対象加盟店求められている対策EMV3-Dセキュアの導入について
全てのEC加盟店・カード番号の適切な管理などの一般的な不正対策
・カード会社への両人判定処理
2025年3月までの計画的な導入が必要
高リスク加盟店
(デジタルコンテンツ、家電、電子マネー、チケット、宿泊予約サービス)
不正利用対策の4方策のうち、1方策以上の対応
不正顕在化加盟店
(カード会社が把握する不正利用金額が3ヵ月連続50万円超に該当するEC事業者)
不正利用対策の4方策のうち、2方策以上の対応早期導入が必要

※参考:SB Payment Service

以下は、クレジットカード不正利用対策の4方策を分かりやすくまとめた表です。

4方策対策サービス提供サービスの例不正利用判定の主体
本人認証
(特定のパスワードや属性情報を入力させて本人を確認する)
本人認証サービスEMV3-Dセキュアクレジットカード会社
券面認証
(券面の数字を入力させて本人のカードであることを確認する)
セキュリティコードCVV、CVV2クレジットカード会社
属性・行動分析
(過去の取引情報等に基づくリスク評価によって不正取引を判定する)
不正注文検知システムO-PLUX
不正チェッカー
EC事業者
配送先情報
(不正配送先情報を蓄積させることで事前に配送を停止させる)
不正配送先情報サービス
不正注文検知システム
O-PLUX
不正チェッカー
EC事業者

※参考:SB Payment Service

表を見て分かる通り、4方策全てをカバーする不正対策を行うためには、EMV3-Dセキュアと不正注文検知システム「O-PLUX」や「不正チェッカー」を併用する必要があります。

特に高リスク加盟店や不正顕在化加盟店に該当する場合は、クレジットカード・セキュリティガイドラインが求めている対策を行うためにもEMV3-Dセキュアと不正注文検知システムを併用して重層的な対策を行っていきましょう。

当サイトを運営するかっこ株式会社は、不正注文検知システム「O-PLUX」や「不正チェッカー」を開発・提供しています

不正対策 法制化

※参考:かっこ株式会社|O-PLUX

以下の記事では、EMV3-Dセキュアと不正注文検知システムを併用している事例を紹介しているので、ぜひ参考にしてください。

\大手事業者の3Dセキュアと不正検知システムの併用事例あり/ 3Dセキュア2.0を徹底解説!最新の不正注文対策とは ※2022年10月より3Dセキュア2.0に移行となり、3Dセキュア1.0は提供が終了となります。
3Dセキュア2.0についてはこちらをご参照ください。

クレジットカード不正被害額は過去最高を更新し続けている

クレジットカード・セキュリティガイドラインが策定された背景として、クレジットカード不正利用被害額が過去最高を更新し続けていることも関係しています。

以下は、クレジットカード不正利用被害額の推移を表しているグラフです。

クレジットカード不正利用被害額の推移

※参考:日本クレジット協会

2014年から2022年まで、クレジットカード不正利用被害額は増加し続けていて、2023年も1月~6月の時点で2022年を上回る勢いで被害額が増加していることが分かります。

クレジットカード不正利用被害額が過去最高を更新し続けている理由として、キャッシュレス決済を利用する人が増えていることもありますが、不正者の増加や不正手口の巧妙化によって簡易的なセキュリティ対策では突破されてしまうケースが多いからです。

クレジットカード・セキュリティガイドラインは、これらの不正からユーザーを守るためにも定期的に改訂され、EC事業者やカード会社に最善の対策を行うように求めています。

なぜクレジットカード不正利用被害が増えてきているのか?
手法、実態、背景を株式会社かっこ O-PLUX事業部 事業部長 小野瀬が動画で解説

クレジットカード・セキュリティガイドライン【4.0版】の改訂ポイント3つ

令和5年3月14日に、クレジットカード・セキュリティガイドライン【4.0版】が改訂されました。

改訂があったのは不正利用への対策・ユーザーの認証方法についてです。

主な改訂ポイントは以下の3つです。

  1. 2025年3月までに全てのEC加盟店にEMV3-Dセキュアを導入する
  2. EC加盟店は基本的なセキュリティ対策に取り組む
  3. ユーザーの認証登録・移行を啓発する

具体的にどのような改訂が加えられたのか、以下で詳しく解説していきます。

【改定ポイント1】2025年3月までに全てのEC加盟店にEMV3-Dセキュアを導入する

クレジットカード・セキュリティガイドライン【3.0版】ではEMV3-Dセキュアの導入が推奨されていましたが、【4.0版】では原則2025年3月末までにすべてのEC加盟店はEMV3-Dセキュアの導入を求めています。

EMV3-Dセキュアとは、クレジットカード会社が提供するクレジットカードの本人認証の仕組みのことで、不正利用の疑いがある場合に追加認証を求める「リスクベース認証」が採用されています。

EMV3-Dセキュアを導入するメリットは以下の通りです。

  • なりすましによる不正注文を防ぐことができる
  • 正規ユーザーは追加認証を求められにくいため、かご落ちリスクを減らせる
  • スマホアプリにも対応しており、モバイルデバイスでもセキュリティ対策を行いやすい

EMV3-Dセキュアについては、以下の記事でも詳しく紹介しているので、理解を深めたい方や導入を検討している方はぜひ参考にしてください。

EMV3-Dセキュアはチャージバック対策に有効

EMV3-Dセキュアはチャージバック対策にも有効です。

チャージバックとは、ユーザーが同意しない決済についてクレジットカード会社が売り上げを取り消してユーザーに返金する仕組みを指します。

チャージバック 仕組み

※参考:かっこ株式会社|O-PLUX

EC事業者がチャージバックによる損失を回避するためには、EMV3-Dセキュアの導入が有効です。

EMV3-Dセキュアを導入していれば、不正利用によるチャージバックが発生しても決済時にEMV3-Dセキュアによる認証が行われていれば、ライアビリティシフトにより加盟店が損失を負うことも原則ありません。

しかし、昨今ではEMV3-Dセキュアだけでは不正が突破されてしまうケースが発生していて、チャージバックの数が増えることでカード会社から契約変更を求められてしまうといった問題が起こっています。

チャージバックのリスク

EMV3-Dセキュアは、チャージバックによる損失を回避するためには有効的ですが、クレジットカードの不正利用対策としては不十分であると言えるでしょう。

よって、チャージバックによる損失の回避だけではなく、カード会社からの信用を失わないには、EMV3-Dセキュアと不正注文検知システムを併用して重層的な対策をしていきましょう。

EMV3-Dセキュアだけでは対策が不十分であることについては、以下の記事でも詳しく紹介していますので参考にしてください。

【改定ポイント2】EC加盟店は基本的なセキュリティ対策に取り組む

クレジットカード・セキュリティガイドライン【4.0版】では、EC加盟店にクレジットカード情報の基本的なセキュリティ対策が求められています。

EC加盟店とカード会社(アクワイアラー)・PSPの両方に記載があります。

カード会社(アクワイアラー)とは、クレジットカードを利用できる加盟店の開拓や管理を担う「加盟店契約会社」のこと

▼役割
VISAやMastercardといった国際ブランドからライセンスを取得して、加盟店(クレジットカード決済ができるお店)との間の橋渡しとなることで、加盟店でクレジットカードが利用できるようにする役割を担っている

対象基本的なセキュリティ対策で求められていること
EC加盟店新規加盟店契約の申込み前に自社のEC サイトに自らセキュリティ対策を実施し、契約申込時にアクワイアラー又はPSP にその実施状況を申告した上で、加盟店契約を締結することが求められる。
カード会社(アクワイアラー)・PSPEC 加盟店に対して、新規加盟店契約に際し、EC 加盟店自らセキュリティ対策を実施した上で、その実施状況の申告を求めるとともに、申告内容を基にEC 加盟店のセキュリティ対策の実施状況を確認する。

※参考:クレジット取引セキュリティ対策協議会

ECサイトを運営する際、不正アクセス被害やサーバー攻撃によってサイトの停止まで追い込まれることがあるため、セキュリティ対策は必須です。

求められている基本的なセキュリティ対策は必ず行い、安心してECサイトを運営・利用できるようにしていきましょう。

ECサイトの不正の傾向や現状については、以下の記事で詳しく解説しているので参考にしてください。

【改定ポイント3】ユーザーの認証登録・移行を啓発する

クレジットカード・セキュリティガイドライン【4.0版】ではユーザー(消費者)がEMV3-Dセキュアの登録および静的(固定)パスワード以外の認証方法への登録・移行 を啓発することに言及しています。

EMV3-Dセキュアへの切り替え、または他の方策の実施がなされていないと、不正利用被害対策を講じていると認められないこととなるので注意が必要です。

3-Dセキュア1.0からEMV3-Dセキュアに切り替わることにより、認証方法が静的(固定)パスワード以外に「リスクベース認証」機能が加わりました。

リスクベース認証では、普段とは違う第三者からの利用を検知した場合、ユーザーに対してSMS認証等を実施しワンタイムパスワードを答えられなければ決済を行えません。

このように、リスクの高い取引に対してのみ認証が行われるためかご落ちリスクの低減が可能と言われています。

リスクベース認証について、もっと詳しく知りたい方は以下の記事で解説していますので本記事と併せて参考にしてください。

クレジットカード・セキュリティガイドラインに対応しない場合はどうなる?

ここまで、クレジットカード・セキュリティガイドラインによって求められる対策や改訂ポイントについて紹介してきましたが、このガイドラインに対応しない場合はどうなるのか気になる加盟店も多いことでしょう。

クレジットカード・セキュリティガイドラインに対応しない場合は、

  • カード会社(アクワイアラー)から加盟店契約の解除
  • 加盟店情報交換センター(JDM)で情報交換されて、他のカード会社(アクワイアラー)とも加盟店契約が結べない
  • 事業継続に多大なリスク・損失が発生する

などが起こる可能性が非常に高いです。

カード会社(アクワイアラー)が提示する加盟店義務を怠ることがないように、クレジットカード・セキュリティガイドラインを理解して対策を講じるようにしていきましょう。

EC事業者に求められているセキュリティ対策とは

今EC事業者に求められているセキュリティ対策は、不正利用対策の4方策を全てカバーできる重層的な対策です。

不正対策 法制化

※参考:かっこ株式会社|O-PLUX

クレジットカード・セキュリティガイドラインでは、全てのEC事業者に対して2025年3月までにEMV3-Dセキュアの導入を求めていますが、実際にはEMV3-Dセキュアだけでは不正対策が十分だと言えません。

基本的なセキュリティ対策に加えてプラスアルファの対策を講じることで、不正アクセスやサーバー攻撃、クレジットカードの不正利用を防ぐことができるのです。

EMV3-Dセキュアと不正注文検知システムの併用がおすすめ

上記でもお伝えした通り、EMV3-Dセキュアだけでは不正対策が十分だと言えません。

そこでおすすめなのが、EMV3-Dセキュアと不正注文検知システム「O-PLUX」や「不正チェッカー」を併用することです。

ユーザーの購買導線はそのままに不正な注文が商品の発送前に分かるので、ECサイトのセキュリティを高めつつカゴ落ちやチャージバックのリスクも抑えることが可能です。

O-PLUXは、国内導入No.1の実績から累計110,000サイトの情報をリアルタイムに分析して、高精度な検知により様々な不正手口に対応できます。

O-PLUXの機能 最新ver

※参考:かっこ株式会社|O-PLUX

 

また不正チェッカーは、機能はO-PLUXと同様の高精度な検知により「チャージバック対策」「転売対策」「クレジットマスター対策」を業界最安値で対策することができます。

とはいえ、自社に合うシステムなのか、機能は使いやすいかなど、実際に利用してみないと分からない部分もあるでしょう。

まずは気軽にトライアルで試してみることも可能なので、気になる事業者様は以下をクリックしてお問合せください。

O-PLUX 公式サイト

1万円で2週間のトライアル利用も受付中!
O-PLUXのトライアルはこちら

まとめ

クレジットカード・セキュリティガイドライン【4.0版】では、原則全てのEC加盟店にEMV-3Dセキュアの導入を求め、基本的なセキュリティ対策として新規加盟店契約の申込み前にセキュリティ対策の実施状況を報告するよう定めています。

しかし、上記で何度もお伝えしたように、EMV-3Dセキュアの導入だけでは不正対策は十分だと言えないのが現状です。

国が求めている不正利用対策の4方策を全てカバーした対策を行うためには、EMV-3Dセキュアと不正注文検知システムの併用を検討してみましょう。

クレジットカード・セキュリティガイドラインの目的や背景などを詳しく知りたい場合は、「クレジットカード・セキュリティガイドライン【4.0版】改訂ポイント」に目を通してみてください。

また、クレジットカード不正利用の現状について最新の情報を確認したい場合は、最新の被害のデータをまとめた下記資料をぜひチェックしてみてください。

\かっこ株式会社独自調査まとめ!近年のクレカ不正とは?/ クレカ不正の現状_2023

ピックアップ記事

  1. 【2024年最新】クレジットカードの不正利用被害は過去最高額!クレカ不正の発生状…
  2. ECサイトでの情報漏洩対策とは?どんなセキュリティ強化をするべきか
  3. 不正アクセスの手口とは?多様化する不正アクセスの発生状況や手口と検知対策も併せて…
  4. 【購入者から見る後払い決済】利用手順やメリット・デメリット、未払い時の対応は?
  5. クレジットマスターの手口や被害とは?不正利用を防ぐための対策3選

関連記事

  1. 不正検知・ノウハウ

    【QR決済の動向】QRコード決済は今後も増加が見込める形に

    日本政府はコード決済を含むキャッシュレス決済を推進しています。…

  2. コマキ楽器 不正アクセス

    ニュース・業界動向

    コマキ楽器でクレジットカードの情報漏洩発生|不正アクセス対策を徹底解説

    「株式会社コマキ楽器」は2021年8月23日に決済アプリの脆弱性を突か…

  3. ニュース・業界動向

    「ドコモ口座」不正利用にみる問題点と対策について

    2020年8月、NTTドコモの「ドコモ口座」を経由し地方銀行に口座を保…

  4. 不正検知・ノウハウ

    割賦販売法の改正に伴い発表された「実行計画」の内容を解説

    2018年6月の改正割賦販売法施行をふまえ、クレジット取引セキュリティ…

  5. 不正アクセス

    消費者向け11の不正ログイン対策と事業者の防止策

    不正ログインが増加していると聞いても何をしたらいいかわからない…

フィッシング対策状況を今すぐチェック。「フィッシング対策セルフチェックシートWebサイトのなりすまし対策に!鉄壁PACK for フィッシング
クレジットカードの不正利用対策はしていない!?独自調査レポート
漫画3匹の子豚でわかるどこよりもわかりやすいWebセキュリティ入門
漫画ウサギとカメでわかるどこよりもわかりやすいEC不正注文対策 無料ダウンロード
自社の商品の転売状況を「転売チェッカー」で調べてみませんか?

おすすめ記事

  1. 【2024年最新】クレジットカードの不正利用被害は過去最高額…
  2. フィッシングサイトを検知する3つの方法!企業が受ける被害例も…
  3. 3Dセキュア2.0を導入後も不正注文対策は必要!理由とおすす…
  4. QRコード決済は危険?不正利用される原因や安全に使える電子決…
  5. 不正アクセスとは?主な4つの手口と対策、被害事例を紹介
漫画3匹の子豚でわかるどこよりもわかりやすいWebセキュリティ入門

お役立ち資料

いざという時に。不正アクセス被害後の対応手順マニュアル
  1. 不正アクセス

    ポイントの不正を防ぐ対策とは?ユーザー視点・事業者視点に分けて解説
  2. qrコード決済不正利用

    不正検知・ノウハウ

    QRコード決済は危険?不正利用される原因や安全に使える電子決済とは
  3. SB Payment Service

    EC構築・ノウハウ

    SBペイメントサービスとは?導入すべき事業者や決済代行サービス導入のメリットを解…
  4. EC構築・ノウハウ

    抽選販売による転売対策とは?事例・有効な対策方法4つを紹介
  5. 情報漏洩後 安全性

    不正検知・ノウハウ

    過去に個人情報漏洩があった企業・サービスは大丈夫?安全性から見る利用の判断
PAGE TOP