キャッシュレス化が進む現代、日本でもクレジットカードの不正利用は年々増加しています。EC サイト運営やオンライン決済を導入する企業にとって、セキュリティ対策はもはや選択肢ではなく、義務と言える時代です。本記事では、クレジットカード・セキュリティガイドラインとは何か？を入り口に、その目的、改訂の背景、対応ステップまでわかりやすく解説します。

目次

• クレジットカード・セキュリティガイドラインとは？
  
• クレジットカード・セキュリティガイドラインが必要な理由
  
• クレジットカード・セキュリティガイドライン 5.0 版と 6.0 版の比較
  
• クレジットカード・セキュリティガイドラインに準拠するためのステップ
  
• クレジットカード・セキュリティガイドラインに準拠しない場合のリスク
  
• 継続的なセキュリティ対策の実践
  

クレジットカードセキュリティガイドラインとは？

クレジットカードセキュリティガイドラインとは、クレジットカード利用におけるセキュリティ対策を規定する一連のポリシーです。日本国内のすべての事業者は、これらのガイドラインに従う必要があります。これらは、情報漏洩や不正利用のリスクを軽減し、安全な取引環境を構築するための経済産業省 (METI)の計画に基づいています。日本クレジット協会 (JCA)もまた、業界全体のセキュリティ意識を高め、事業者が徹底した対策を講じるよう努めています。

最新版のバージョン 6.0 では、より厳格なセキュリティ基準が要求されており、事業者は常に最新の動向を把握し対応することが不可欠です。具体的には、クレジットカード情報の適切な管理、不正利用の早期発見と対応、従業員へのセキュリティ教育、システムの脆弱性対策などが義務付けられています。

ガイドラインの遵守は、企業が顧客からの信頼を得て、持続可能性を維持するのに役立ちます。すべての事業者は、最新のガイドラインの詳細を理解し、それに準拠するための適切な対策を講じる必要があります。

クレジットカード・セキュリティガイドラインが必要な理由

日本で国際ブランドカードを発行している会社を中心に実施された日本クレジット協会の調査によると、2024 年のクレジットカード不正利用被害額は約 555 億円に上り、2014 年の 110 億円と比較して、大きく増加しているのが分かります。中でも、番号盗用による被害は全体の 6 割弱だった 2014 年と比較して、2024 年は 9 割以上となっており、EC サイトなどのオンライン取引における脆弱性が浮き彫りとなっています。

このような背景から、企業がクレジットカードセキュリティガイドライン最新版に準拠することは、顧客保護や法令遵守だけでなく、自社ブランドの信頼性を守る上でも不可欠です。万一、情報漏洩や不正アクセスが発生した場合、顧客離れやチャージバック損失にとどまらず、行政指導や損害賠償といった深刻な影響を及ぼします。

クレジットカード・セキュリティガイドライン 5.0 版と 6.0 版の比較

クレジットカード・セキュリティガイドラインは、2020 年に 1.0 版が公表されて以来、これまでにも何度か改訂されてきました。指針対策は、非対面取引を行う加盟店 (以下、EC 加盟店) と対面取引を行う加盟店 (以下、対面加盟店) に分けて記載されており、自社の事業形態がどちらに該当するかにより、注意する点も異なります。6.0 版では、主に EC 加盟店に対しての指針対策追加となっているため、EC サイトを運営されている事業者の方は新しいガイドラインへ準拠する必要があります。内容を理解し、必要な対策をひとつひとつ抑えていきましょう。

クレジットカード・セキュリティガイドラインの情報はとてもたくさんあり、一見分かりにくく感じますが、ポイントを抑えれば難しくありません。まずは、下記の表で、クレジットカード・セキュリティガイドライン 5.0 版と 6.0 版を比較し、何が追加されたのか指針対策ごとに確認します。

カード情報の盗用防止対策

バージョン 5.0 では、日本クレジット協会 (JCA) がカード情報保護対策として、非保持化や PCI DSS 準拠を実施しました。これらの対策は、短期間に大量のカードデータが窃取される事案の防止に一定の効果がありました。

しかし、EC 事業者のシステムやウェブサイトのウイルス対策、管理者の権限の管理、デバイス管理等の脆弱性対策の不備により、外部からの不正アクセスやウイルス感染、システムの改ざん等により、カード情報が漏洩する事案が発生していました。そのため、バージョン 6.0 ではカード情報漏洩防止のため、EC 事業者に以下のようなシステム及びウェブサイトの脆弱性対策を実施するように求めています。

• システム管理画面のアクセス制限と管理者の ID およびパスワード管理
  
• データディレクトリの露見に伴う設定不備への対策
  
• ウェブアプリケーションの脆弱性対策
  
• マルウェア対策としてのウイルス対策ソフトの導入、運用
  
• 悪意のある有効性確認および クレジットマスターへの対策
  

EC システムやウェブサイトの構築、設定、運用を外部に委託する際は、請負業者は EC 事業者が実施を求められる脆弱性対策に従わなければなりません。

カードの不正利用対策

2023 年、日本におけるカード不正利用額は 540 億円を超えました。そのうち 93% は EC 事業者でのなりすましによるものでした。そのため、カード決済前とカード決済中に不正を防止することを目的とした対策が追加されました。

カード決済前、決済時、決済後の不正利用は以下のように発生します。

• カード決済前: 不正な行為者は、不正なアカウントを登録したり、顧客になりすまして不正ログインを行ったりする可能性があります。
  
• カード決済時: クレジットマスターによって生成されたカード番号やカード情報の不正利用、およびフィッシングによって窃取されたカード情報、アカウント、パスワード、属性情報などが使用される事例が見られます。
  
• カード決済後: 商品が不正に配送される、または転売される可能性があるため、注文内容や配達先住所を確認する必要があります。
  

不正利用の可能性があるため、カード取引の流れを規制する対策を講じる必要があります。例えば、カード決済前の不正ログイン対策や、カード決済プロセス中の EMV 3D セキュアの導入などが挙げられます。

不正ログイン対策

バージョン 6.0 では、不正ログイン対策に関する以下の項目の対策が推奨されています。

• 不審な IP アドレスからのアクセス制限
  
• 2 段階認証または多要素認証による本人確認
  
• 会員登録時の個人情報確認
  
• ログイン試行回数の制限強化
  
• 会員ログイン時、属性情報変更時のメールや SMS 通知
  
• 属性・行動分析
  
• 指紋認証
  

EMV 3D セキュアの導入

バージョン 6.0 では、EMV 3D セキュアの導入に関する対策が新たに追加されています。EC 事業者は以下のことを行う必要があります。

• EMV 3D セキュアを導入してカード会員の本人確認を適切に実施する
  
• リスクベース認証 (RBA) の精度を向上させる。
  

不正利用の頻発、高リスク事業者

不正利用が継続的に複数回発生している場合、事業者は不正利用が頻発しているとみなされます。本ガイドラインにおいては、3 か月連続で不正利用による被害額が合計 50 万円を超えた場合、その事業者は不正利用が頻発していると見なされます。

高リスク事業者は、オンラインゲーム、家電、電子マネー、チケット、宿泊予約サービスなど、主にデジタル商品を扱うビジネスに多く見られます。高リスク事業者および、不正利用の発生率が高い事業者は、追加の対策を実施する必要があります。

バージョン 5.0 以前は、不正利用被害の履歴がある事業者に、クレジットカードセキュリティガイドラインに記載されている 4 つの対策のうち、少なくとも 2 つを導入することが求められていました。高リスク事業者は、少なくとも 1 つを導入する必要がありました。これらの対策としては、カード保有者の認証、カード確認、属性と行動の分析、配達先住所の確認などが挙げられます。

ただし、バージョン 6.0 以降は、事業者には新たに階層的なアプローチに基づき、実際の不正利用の被害と採用される具体的な方法に合わせてカスタマイズされた追加の適切な対策または強化された対策を実施することが義務付けられています。このようにガイドラインが変更されたのは、事業者が提供できるさまざまな商品やサービス、不正利用者によるアカウントの作成または乗っ取り方法が多様化しているためです。

通信販売、電話注文 (MO/TO) 取引を扱う事業者

MO/TO は、Mail Order および Telephone Order のことで、通信販売および電話注文を意味します。つまり、MO/TO 事業者は、電話や郵送でカード決済を処理します。

MO/TO 取引取扱事業者は、EC 取引併用の事業者も多いことから、不正顕在化事業者・高リスク商材取扱事業者同様、5.0 版までの 4 つの方策の対策は見直されることになりました。それ以外の下記の項目は、引き続き 6.0 版でも対策を求められています。

• オーソリゼーション処理の体制整備
  
• 事業者契約上の善良なる管理者の注意義務の履行
  
• リスクや被害状況に応じた非対面不正利用対策の導入
  

事業者へのサポート

カード会社や PSP は、EC 事業者が導入すべき上記の脆弱性対策について情報提供、サポートなどを行うことが求められています。

また、システム提供会社等は、脆弱性対策を理解した上で EC サイトの構築などを手がける必要があり、サイトの運営や維持とともに、EC 事業者に助言やサポートを提供する必要があります。

カード決済時の PIN 入力

2025 年 4 月以降、対面取引を行う加盟店は、顧客に対してカード決済時に行われていたサイン取得による本人確認を行うのではなく、PIN の入力を求めるように変更になりました。

クレジットカードセキュリティガイドラインに準拠するためのステップ

カード情報を取られないようにすることと、カード情報を使わせないようにすることには、異なる対策が必要になります。まず、カード情報が盗まれて使われる前の流れとそれぞれの過程でどのような対策が必要だったか振り返って見ましょう。

ガイドライン 6.0 版に準拠するには、事業者の業態や取引形態に応じた多面的な対策と、社内体制の整備が求められます。

それでは、具体的にどのような点に注意すべきか、代表的なものをご紹介します。

現状評価とギャップ分析

まずは自社のセキュリティレベルと、ガイドライン 6.0 版とのギャップを把握することが出発点です。自社のカード情報保護対策と不正利用対策の現在の実施状況はどのようになっているか、次のような項目をひとつひとつ確認しましょう。

カード情報保護 (カード情報を取られないようにする) 対策で確認すべき項目

• 管理画面のアクセス制限はあるか
  
• 管理者の ID やパスワードの管理はきちんと行われているか
  
• 公開ディレクトリには、重要なファイルを配置していないか
  
• ウェブアプリケーションに脆弱性を作り込んでいないか
  
• マルウェア対策は行われているか
  
• ウイルス対策ソフトの導入はされているか
  
• クレジットマスター対策はされているか
  

不正利用 (カード情報を使われないようにする) 対策で確認すべき項目

• EMV 3-D セキュアは導入したか
  
• 不審な IP アドレスからアクセスがあった場合、制限をかけているか
  
• 2 段階認証、または多要素認証を使った本人確認を実行しているか
  
• ログイン試行回数の制限をかけているか (例: 5 回連続で誤ったパスワードを入力した場合に、一定時間ログインできないようにするなど)
  
• メールアドレス、住所、電話番号など、会員情報が変更された時のチェック
  
• 過去の取引情報等に基づくリスク評価により不正取引を判定しているか (不正検知システム)
  
• フィンガープリント技術を用いてデバイスを特定することが可能か
  

優先順位を決める

セキュリティ対策には、単に複数の対策を組み合わせればよいわけではなく、事業者の状況に応じて優先度を決める必要があります。リスクに応じて個々の対策の実施範囲を上記のリストから見極め、複層的な対策を行いましょう。

定期的な見直しと従業員のトレーニング

不正利用の手口もだんだん巧妙になり、企業側が新しいセキュリティ対策を導入すれば、それに対抗するように不正手法も進化していきます。だからこそ、技術的な対策、組織的な運動、従業員への教育が必要です。一度設定して終わりではありませんので、定期的な見直しを必ず行うようにしましょう。

クレジットカード・セキュリティガイドラインに準拠しない場合のリスク

ガイドラインへの未対応は、単にルール違反というだけでなく、実際のビジネス運営に深刻な影響を及ぼします。以下は、準拠しなかった場合に生じ得る主なリスクです。

顧客情報漏洩と信頼失墜

個人情報の漏洩は、企業の信頼を根底から揺るがし、顧客離れやメディア報道によるブランド毀損を引き起こします。

金銭的損失とチャージバック

不正利用によるチャージバックや損害賠償の支払いが発生し、特に中小企業にとっては大きな負担となります。

行政処分や業務停止命令

ガイドラインへの違反が判明した場合、行政機関からの改善命令や営業停止処分の可能性もあります。

継続的なセキュリティ対策の実践

クレジットカードセキュリティガイドラインは、日々進化する不正リスクに備えるための実務的な指針です。ガイドラインの最新版であるバージョン 6.0 では、非保持化や PCI DSS への準拠に加え、事業形態に合わせた脆弱性対策や、事業の特性に応じた各種対策が求められています。

セキュリティ対策を後回しにすることは、顧客との信頼関係を失うリスクだけでなく、将来的な事業存続にも関わる問題です。Stripe Paymentsのような PCI DSS に準拠している包括的な決済プラットフォームを活用し、段階的にガイドラインに準拠した環境を整えていきましょう。