不正検知・ノウハウ

  •  PR 

クレジットカード・セキュリティガイドライン【5.0版】のポイントを解説

「クレジットカード・セキュリティガイドラインについて知りたい」
「クレジットカード・セキュリティガイドライン【5.0版】の改正ポイントは何?」

など、クレジットカード・セキュリティガイドラインについて分かりやすく説明してほしいと思っている事業者様が多いです。

クレジットカード・セキュリティガイドラインは、2020年3月に公表されたもので、クレジットカード決済を導入する事業者を含む関連業者による健全な取引と消費者の保護を目指しています。

この記事では、

  • クレジットカード・セキュリティガイドラインとは
  • クレジットカード・セキュリティガイドライン【5.0版】の改定ポイント3つ
  • EC事業者に求められているセキュリティ対策とは

などを解説していきます。

クレジットカード・セキュリティガイドラインについて理解を深めたい事業者様は、ぜひご一読ください。

EC関連549社を独自調査!EC業界の不正利用対策の現状とは!?

独自調査レポ無料DLはこちら

クレジットカード・セキュリティガイドラインとは

クレジットカード・セキュリティガイドラインとは、安全・安心なクレジットカード利用環境を整備するため、クレジットカード取引に関わるカード会社、加盟店、決済代行業者等の関係事業者が実施するべきクレジットカード情報漏えい・不正利用防止のためのセキュリティ対策の取組を取りまとめたものです。

また、クレジットカード・セキュリティガイドラインは、割賦販売法に規定するセキュリティ対策義務の「実務上の指針」として位置づけられています。

割賦販売法とは、代金を分割して支払う割賦(かっぷ)販売にて、公正で健全な取引を維持し、消費者を保護するための法律

クレジットカード・セキュリティガイドラインに「指針対策」として掲げられている措置またはそれと同等以上の措置を適切に講じている場合には、割賦販売法で定めるセキュリティ対策の基準を満たしていると認められます。(※引用:経済産業省)

クレジットカード・セキュリティガイドラインで定める対策3つ

クレジットカード・セキュリティガイドラインで定める対策は主に3つです。

  1. 情報保護対策
  2. 対面決済における不正利用対策
  3. 非対面決済における不正利用対策

それぞれどのような対策なのかを、以下で詳しく解説していきます。

1. 情報保護対策

情報漏洩に対抗するために、対面決済・非対面決済のいずれの場合でも、クレジットカード情報の非保持化またはPCI DSS準拠が定められています。

クレジットカード情報の非保持化:クレジットカード情報を自社のネットワークに保存・処理・通過をさせないこと
PCI DSS:クレジットカード情報を安全に取り扱うために策定された、クレジットカード業界のセキュリティ基準のこと

非保持化対応を実施することで、外部からの侵入によるクレジットカードの情報漏洩を防ぐことが可能と考えらえています。

クレジットカードの非保持化

2. 対面決済における不正利用対策

対面決済における不正利用対策では、クレジットカードのIC化100%を目指すことが挙げられます。

クレジットカード・セキュリティガイドラインでは、2020年3月に偽造カード被害の抑制を目的としてクレジットカードのIC化を定めていて、その結果偽造カード被害額が大幅に減少した成果を残しています。

よって、この対策は一定の成果を収めているため、引き続きカード会社によるクレジットカードのIC化を進めていくこととなります。

3. 非対面決済における不正利用対策

非対面決済における不正利用対策では、クレカ不正の手口が巧妙化してきていることから、重層的な不正利用対策として4方策の導入を掲げています。

これにより、本人認証の一つであるEMV3-Dセキュアは、2025年3月末までに全ての加盟店対象が導入必須となりました。

また、高リスク商材取扱加盟店・不正顕在化加盟店に該当する場合は、複数サービスの導入とクレジットカード・セキュリティガイドライン【5.0版】では早急なEMV3-Dセキュア導入が求められています。

対象加盟店求められている対策EMV3-Dセキュアの導入について
全てのEC加盟店・カード番号の適切な管理などの一般的な不正対策
・カード会社への両人判定処理
2025年3月までに早期に導入着手
(※導入優先順位あり)
高リスク商材取扱加盟店
(デジタルコンテンツ、家電、電子マネー、チケット、宿泊予約サービス)
不正利用対策の4方策のうち、1方策以上の対応
不正顕在化加盟店
(カード会社が把握する不正利用金額が3ヵ月連続50万円超に該当するEC事業者)
不正利用対策の4方策のうち、2方策以上の対応即時に導入着手

※参考:SB Payment Service

以下は、クレジットカード不正利用対策の4方策を分かりやすくまとめた表です。

4方策対策サービス提供サービスの例不正利用判定の主体
本人認証
(特定のパスワードや属性情報を入力させて本人を確認する)
本人認証サービスEMV3-Dセキュアクレジットカード会社
券面認証
(券面の数字を入力させて本人のカードであることを確認する)
セキュリティコードCVV、CVV2クレジットカード会社
属性・行動分析
(過去の取引情報等に基づくリスク評価によって不正取引を判定する)
不正注文検知システムO-PLUX
不正チェッカー
EC事業者
配送先情報
(不正配送先情報を蓄積させることで事前に配送を停止させる)
不正配送先情報サービス
不正注文検知システム
O-PLUX
不正チェッカー
EC事業者

※参考:SB Payment Service

表を見て分かる通り、4方策全てをカバーする不正対策を行うためには、EMV3-Dセキュアと不正注文検知システム「O-PLUX」や「不正チェッカー」を併用する必要があります。

特に高リスク商材取扱加盟店や不正顕在化加盟店に該当する場合は、クレジットカード・セキュリティガイドラインが求めている対策を行うためにもEMV3-Dセキュアと不正注文検知システムを併用して重層的な対策を行っていきましょう。

当サイトを運営するかっこ株式会社は、不正注文検知システム「O-PLUX」や「不正チェッカー」を開発・提供しています

不正対策 法制化

※参考:かっこ株式会社|O-PLUX

以下の記事では、EMV3-Dセキュアと不正注文検知システムを併用している事例を紹介しているので、ぜひ参考にしてください。

\大手事業者の3Dセキュアと不正検知システムの併用事例あり/ 3Dセキュア2.0を徹底解説!最新の不正注文対策とは ※2022年10月より3Dセキュア2.0に移行となり、3Dセキュア1.0は提供が終了となります。
3Dセキュア2.0についてはこちらをご参照ください。

クレジットカード不正被害額は過去最高を更新し続けている

クレジットカード・セキュリティガイドラインが策定された背景として、クレジットカード不正利用被害額が過去最高を更新し続けていることも関係しています。

クレジットカード不正利用被害額は増加し続けていて、2023年は過去最高の540.9億円の被害が発生しました。

中でも、クレジットカード番号盗用被害は全体の9割を占めていて、2023年は504.7億円の被害が発生しています。

以下は、クレジットカード番号盗用被害額の推移を表しているグラフです。

クレジットカード番号盗用被害

※参考:日本クレジット協会

クレジットカード不正利用被害額が過去最高を更新し続けている理由として、キャッシュレス決済を利用する人が増えていることもありますが、不正者の増加や不正手口の巧妙化によって簡易的なセキュリティ対策では突破されてしまうケースが多いからです。

クレジットカード・セキュリティガイドラインは、これらの不正からユーザーを守るためにも定期的に改訂され、EC事業者やカード会社に最善の対策を行うように求めています。

\かっこ株式会社調査まとめ!近年のクレカ不正とは?/ クレジットカード不正利用まとめ

クレジットカード・セキュリティガイドライン【5.0版】の改訂ポイント3つ

令和6年3月に、クレジットカード・セキュリティガイドライン【5.0版】が改訂されました。

改訂があったのはEMV3-Dセキュアの導入着手時期不正利用への対策についてです。

主な改訂ポイントは以下の3つです。

  1. 早期にEMV3-Dセキュアの導入に着手するよう働きかける
  2. 必要なセキュリティ対策を関係事業者別に構成
  3. 決済前・決済時・決済後のそれぞれの場面ごとに対策を導入する

具体的にどのような改訂が加えられたのか、以下で詳しく解説していきます。

【改定ポイント1】早期にEMV3-Dセキュアの導入に着手するよう働きかける

クレジットカード・セキュリティガイドライン【4.0版】では、原則2025年3月末までにすべてのEC加盟店にEMV3-Dセキュアの導入を求めていましたが、【5.0版】では早期にEMV3-Dセキュアの導入に着手するように働きかけることになりました。

特に、すでに不正利用が発生し被害が生じている加盟店「不正顕在化加盟店」は、即時にEMV3-Dセキュアの導入に着手するように求めています。

その他EC加盟店へのEMV3-Dセキュア導入優先順位は、

  1. 不正顕在化加盟店ではないが不正が発生しているEC加盟店
  2. 高リスク商材を取り扱っている加盟店
  3. 上記以外の加盟店

となっています。

EC加盟店へのEMV3-Dセキュア導入優先順位

また、カード会社やPSPがEC加盟店と新規に加盟店契約する際には、2025年3月末までにEMV3-Dセキュアを導入することを説明した上で契約することとしています。

EMV3-Dセキュアはチャージバック対策に有効

EMV3-Dセキュアはチャージバック対策にも有効です。

チャージバックとは、ユーザーが同意しない決済についてクレジットカード会社が売り上げを取り消してユーザーに返金する仕組みを指します。

チャージバック 仕組み

※参考:かっこ株式会社|O-PLUX

EC事業者がチャージバックによる損失を回避するためには、EMV3-Dセキュアの導入が有効です。

EMV3-Dセキュアを導入していれば、不正利用によるチャージバックが発生しても決済時にEMV3-Dセキュアによる認証が行われていれば、ライアビリティシフトにより加盟店が損失を負うことも原則ありません。

しかし、昨今ではEMV3-Dセキュアだけでは不正が突破されてしまうケースが発生しています。

不正の突破によりチャージバックの数が増えてしまうと、

  • オーソリ承認率の低下
  • カード会社から契約変更・終了を求められる

などのリスクが発生してしまいます。

オーソリ:利用限度額に達していないかなどをカード会社が確認し、その上でカードご利用枠を確保する処理のこと

EMV3-Dセキュアのみ リスク

カード会社は、不正が多い加盟店に対してオーソリの基準を厳しくし、承認率を低下する動きをとります。

つまり、オーソリ承認率が低下するということは、正規ユーザーでもクレジットカードが使えなくなるケースが発生してしまい、売上機会を失うのなどの損失を招きます。

さらに、継続的に不正が発生していて改善の余地が見られないと判断された場合、カード会社から契約変更や契約終了を突き付けられることになるでしょう。

よって、チャージバックによる損失の回避だけではなく、カード会社からの信用を失わないためにも、EMV3-Dセキュアと不正注文検知システムを併用して重層的な対策をしていきましょう。

EMV3-Dセキュアだけでは対策が不十分であることについては、以下の記事でも詳しく紹介していますので参考にしてください。

【改定ポイント2】必要なセキュリティ対策を関係事業者別に構成

クレジットカード・セキュリティガイドライン【5.0版】では、自身がどの事業者に該当して、且つ必要なセキュリティ対策は何かを理解しやすい内容に見直しが行われました。

従前の【4.0版】の内容を基に、関係事業者ごとに「対面取引」と「非対面取引」別に、各事業者が講じるべき「カード情報保護対策」「不正利用対策」「周知・啓発等」に関して対策を具体的に記載しています。

関係事業者ごと 対策

加盟店においては、クレジットカード・セキュリティガイドライン【5.0版】では必要なセキュリティ対策について具体的にこのように示しています。

【加盟店】
セキュリティ対策
クレジットカード・セキュリティガイドライン【5.0版】
対面取引非対面取引
カード情報保護対策加盟店におけるカード情報保護のための取組として「非保持化」を推進するカード情報を保持しない非保持化、又はカード情報を保持する場合はPCI DSSに準拠する
不正利用対策IC 取引を可能とするため設置する決済端末の全てを IC 対応にする・オーソリゼーション処理の体制整備と加盟店契約上の善良なる管理者の注意をもって不正利用の発生を防止する
・リスクや被害状況に応じた非対面不正利用対策を導入する
・「高リスク商材取扱加盟店」は4つの方策のうち1方策以上必要
・「不正顕在化加盟店」は2方策以上の導入が必要
周知・啓発PIN 不知のカード利用者に対しては、PIN 確認のためにカード会社(イシュアー)への案内に協力する・消費者がフィッシング詐欺に遭わないように、フィッシングの手口や自社の名を騙る詐欺サイト等に対する注意喚起を行う
・カード利用時に求められる場合のあるセキュリティコードやパスワードの利用、ID・パスワードの使い回しの危険性等について注意喚起を行う

※参考:日本クレジット協会|クレジットカード・セキュリティガイドライン【5.0版】

その他関係事業者ごとの具体的なセキュリティ対策については、日本クレジット協会が発表している「クレジットカード・セキュリティガイドライン【5.0版】」をご覧ください。

また、基本的なセキュリティ対策の1つとして、新規加盟店契約申し込みの前に「セキュリティ・チェックリスト」記載の対策を実施し、その状況をアクワイアラー・PSPに申告した上で契約を締結することが求めれています。

このように【5.0版】では、それぞれの関係事業者ごとに具体的にどのような対策を行えばいいのかを示しているので、今後各関係事業者は適切なセキュリティ対策の推進が図れるようになるでしょう。

特にEC加盟店においては、不正アクセスやサイバー攻撃の被害に遭う前に自社に合った適切なセキュリティ対策を早急に行うようにしましょう。

【改定ポイント3】決済前・決済時・決済後のそれぞれの場面ごとに対策を導入する

クレジットカード・セキュリティガイドライン【5.0版】では、カード決済前・決済時・決済後のそれぞれの場面ごとに対策を導入するように求めています。

加盟店ごとに効果的な不正利用対策が異なっており、EMV3-Dセキュアを含めた複数の方策を導入したとしても実効的な抑止効果が得られにくいケースも散見されました。

よって、今後はより不正対策効果を高めるために、決済の場面(決済前・決済時・決済後)を考慮して、それぞれの場面ごとに対策を導入するという、点ではなく線として考える指針の策定が求められています。

不正利用対策

※引用:日本クレジット協会

先程もお話ししましたが、当サイトを運営するかっこ株式会社は、「属性・行動分析」「注文内容・配送先情報」「配送停止」などをまとめて検知できる不正注文検知システム「O-PLUX」を開発・提供しています。

また、「不正ログイン対策」を万全に行うことができる不正アクセス検知システム「O-MOTION」も開発・提供しています。

よって、「O-PLUX」や「O-MOTION」とEMV3-Dセキュアを併用すれば、【5.0版】が掲げている「カード決済前・決済時・決済後」のそれぞれの場面ごとに対策を導入することができるでしょう。

クレジットカード・セキュリティガイドライン【5.0版】が発表されたことで、不正対策を見直したいとお考えの事業者様は、以下をクリックしてお気軽にお問い合わせください。

アクセスから注文まで一貫して対応-かっこの不正検知サービス- かっこの不正検知サービス

【4.0版】から変わったこと

前章では、クレジットカード・セキュリティガイドライン【5.0版】の改定ポイントをお話ししてきましたが、どこがどう変わったのかを比較したい事業者もいるでしょう。

そこで、クレジットカード・セキュリティガイドライン【4.0版】から【5.0版】で変わったことを、以下の表にまとめました。

クレジットカード・セキュリティガイドライン変更箇所

近年の不正傾向や増加に伴い、【4.0版】ではEMV3-Dセキュアは2025年3月末までに全ての加盟店において導入を求めていましたが、【5.0版】では早期に導入着手するように示されました。

また、基本的なセキュリティ対策においては、新規加盟店契約前に「セキュリティ・チェックリスト」記載の対策を実施して、その状況をアクワイアラー・PSPに申告することが求められるようになりました。

なお、「セキュリティ・チェックリスト」については、詳しくは日本クレジット協会セキュリティ対策推進センターまでお問い合わせください。

加盟店がクレジットカード・セキュリティガイドラインに対応しない場合はどうなる?

ここまで、クレジットカード・セキュリティガイドラインによって求められる対策や改訂ポイントについて紹介してきましたが、このガイドラインに対応しない場合はどうなるのか気になる加盟店も多いことでしょう。

クレジットカード・セキュリティガイドラインに対応しない場合は、

  • カード会社(アクワイアラー)から加盟店契約の解除
  • 加盟店情報交換センター(JDM)で情報交換されて、他のカード会社(アクワイアラー)とも加盟店契約が結べない
  • 事業継続に多大なリスク・損失が発生する

などが起こる可能性が非常に高いです。

カード会社(アクワイアラー)が提示する加盟店義務を怠ることがないように、クレジットカード・セキュリティガイドラインを理解して対策を講じるようにしていきましょう。

EC事業者に求められているセキュリティ対策とは

今EC事業者に求められているセキュリティ対策は、不正利用対策の4方策を全てカバーできる重層的な対策です。

不正対策 法制化

※参考:かっこ株式会社|O-PLUX

クレジットカード・セキュリティガイドラインでは、全てのEC事業者に対して2025年3月までにEMV3-Dセキュアの早期導入を求めていますが、実際にはEMV3-Dセキュアだけでは不正対策が十分だと言えません。

基本的なセキュリティ対策に加えてプラスアルファの対策を講じることで、不正アクセスやサイバー攻撃、クレジットカードの不正利用を防ぐことができるのです。

EMV3-Dセキュアと不正注文検知システムの併用がおすすめ

何度もお伝えしている通り、EMV3-Dセキュアだけでは不正対策が十分だと言えません。

そこでおすすめなのが、EMV3-Dセキュアと不正注文検知システム「O-PLUX」や「不正チェッカー」を併用することです。

ユーザーの購買導線はそのままに不正な注文が商品の発送前に分かるので、ECサイトのセキュリティを高めつつカゴ落ちやチャージバックのリスクも抑えることが可能です。

O-PLUXは、国内導入No.1の実績から累計110,000サイトの情報をリアルタイムに分析して、高精度な検知により様々な不正手口に対応できます。

O-PLUXの機能 最新ver

※参考:かっこ株式会社|O-PLUX

また不正チェッカーは、機能はO-PLUXと同様の高精度な検知により「チャージバック対策」「転売対策」「クレジットマスター対策」を業界最安値で対策することができます。

とはいえ、自社に合うシステムなのか、機能は使いやすいかなど、実際に利用してみないと分からない部分もあるでしょう。

まずは気軽にトライアルで試してみることも可能なので、気になる事業者様は以下をクリックしてお問合せください。

O-PLUX 公式サイト

1万円で2週間のトライアル利用も受付中!
O-PLUXのトライアルはこちら

不正チェッカー 公式

\転売・チャージバック対策を業界最安値で/
不正チェッカーの資料DLはこちら

まとめ

クレジットカード・セキュリティガイドライン【5.0版】では、原則全てのEC加盟店にEMV-3Dセキュアの早期導入を求める中で、「不正顕在化加盟店」においては即時導入するように求めています。

セキュリティ対策としては、【4.0版】を基に関係事業者ごとに「対面取引」と「非対面取引」別に、各事業者が講じるべき「カード情報保護対策」「不正利用対策」「周知・啓発等」に関して対策を具体的に示されました。

また、カード不正利用対策として、カード決済前・決済時・決済後のそれぞれの場面ごとに対策を導入するように求められています。

【5.0版】でこのように改定されたのは、EMV-3Dセキュアの導入だけでは不正対策は十分だと言えない現状が明らかになったからです。

近年、EMV-3Dセキュアの導入だけでは不正が突破されてしまうケースも散見されているので、不正利用対策の4方策を全てカバーした対策を行うのが望ましいと言えるでしょう。

よって、国も推奨している不正利用対策の4方策を全てカバーした対策を行うためには、EMV-3Dセキュアと不正注文検知システム「O-PLUX」「不正チェッカー」の併用を検討してみましょう。

クレジットカード・セキュリティガイドラインの目的や背景などを詳しく知りたい場合は、「クレジットカード・セキュリティガイドライン【5.0版】改訂ポイント」に目を通してみてください。

また、EC事業者様においては、以下の不正リスクチェックシートを活用して、自社に合った適切なセキュリティ対策を理解しておきましょう。

\不正リスクのチェックを自分で試せる!/

ピックアップ記事

  1. 不正アクセスの手口とは?多様化する不正アクセスの発生状況や手口と検知対策も併せて…
  2. 通販サイトが攻撃を受ける原因とリスク!4つのセキュリティ対策とは?
  3. 不正アクセスの件数は実際どのくらい?総務省のデータを元に徹底解説
  4. 【後払い未払い発生時の対策】督促手順や支払う意思がない購入者への対応について
  5. なりすましによる不正アクセスの被害内容と具体的な対策(不正検知)について

関連記事

  1. ニュース・業界動向

    「ドコモ口座」不正利用にみる問題点と対策について

    2020年8月、NTTドコモの「ドコモ口座」を経由し地方銀行に口座を保…

  2. レンタル転売のアイキャッチ画像

    不正検知・ノウハウ

    レンタル商品の転売は違法?被害事例や対策方法を徹底解説!

    「レンタル商品の転売は違法なの?」「レンタル商品の転売はどう対策し…

  3. 不正検知・ノウハウ

    クレジットカードの暗証番号とは?忘れた場合の対処法や設定方法を解説

    クレジットカードの暗証番号は、カード所有者であることを証明するためのも…

EC不正事業者セルフチェックシート
漫画3匹の子豚でわかるどこよりもわかりやすいWebセキュリティ入門
漫画ウサギとカメでわかるどこよりもわかりやすいEC不正注文対策 無料ダウンロード

おすすめ記事

  1. チャージバックとは?原因と不正注文を防ぐ仕組み
  2. 【2024年最新】クレジットカードの不正利用被害は過去最高額…
  3. フィッシングサイトを検知する3つの方法!企業が受ける被害例も…
  4. 3Dセキュア2.0を導入後も不正注文対策は必要!理由とおすす…
  5. QRコード決済は危険?不正利用される原因や安全に使える電子決…
漫画3匹の子豚でわかるどこよりもわかりやすいWebセキュリティ入門

お役立ち資料

いざという時に。不正アクセス被害後の対応手順マニュアル
  1. 不正アクセス

    生体認証だけでは不正アクセスは防げない?決して完璧ではない理由
  2. ニュース・業界動向

    BNPLとは?仕組みやメリット・デメリット、クレジットカードとの違いを解説
  3. セキュリティ用語

    クレジット業界におけるイシュアとは何か?役割やアクワイアラとの違いについて解説
  4. 3Dセキュア

    ECは3Dセキュア2.0とオーソリだけでは十分な不正対策といえない理由
  5. 不正注文 メール 例文

    不正検知・ノウハウ

    不正注文や本人確認・注文のキャンセルメールの送り方【例文付き】
PAGE TOP