リード文
2025年3月に改訂された「クレジットカード・セキュリティガイドライン6.0版」は、クレジットカード取引の安全性を確保するために重要な指針です。不正利用被害が増加する中、EC事業者や決済代行会社が実施すべき具体的な対策が強化されました。本記事では、ガイドラインの概要から最新改訂ポイント、実践すべき対策まで詳しく解説します。これを読めば、ガイドライン対応の全貌がわかります!
1. クレジットカード・セキュリティガイドラインとは?
概要
「クレジットカード・セキュリティガイドライン」は、クレジット取引の安全性を高めるために、日本クレジット協会が策定した指針です。このガイドラインは、クレジットカード会社、加盟店、決済代行事業者(PSP)などが守るべきセキュリティ基準をまとめたものです。
ガイドラインの目的と背景
クレジットカード利用の拡大に伴い、カード情報の漏えいや不正利用のリスクも高まっています。ガイドラインは、こうしたリスクを軽減し、消費者が安心してカード決済を利用できる環境を整備することを目的としています。
具体的な目的は以下の通りです。
- カード情報の漏えい防止
- 不正利用被害の抑制
- 安全・安心な取引環境の確立
- 事業者の適切なセキュリティ対策の促進
策定・改訂の経緯
クレジットカード・セキュリティガイドラインは、国際的なセキュリティ基準(PCI DSS)や国内の法規制を踏まえて策定され、テクノロジーの進化や不正手口の変化に合わせて定期的に改訂されてきました。
| 版数 | 公開年月 | 主な改訂ポイント |
|---|---|---|
| 初版 | 2017年3月 | 基本的なセキュリティ対策の提示 |
| 2.0版 | 2018年3月 | 非保持化・PCI DSS準拠の具体化 |
| 3.0版 | 2019年3月 | 不正利用対策の強化 |
| 4.0版 | 2020年3月 | ECサイトの脆弱性対策 |
| 5.0版 | 2022年3月 | リモートワーク環境下のセキュリティ |
| 6.0版 | 2025年3月 | EMV 3-Dセキュア導入の義務化、不正ログイン対策の強化 |
関係する法規制(例:割賦販売法)
クレジットカード・セキュリティガイドラインは、「割賦販売法」に基づく監督指針として位置づけられています。2018年の割賦販売法改正により、クレジットカード会社には加盟店に対するセキュリティ対策の指導・管理義務が課されました。
この法改正により、加盟店におけるカード情報の適切な管理や不正利用防止策の実施が法的に求められるようになりました。具体的には、以下の対応が必要です。
- クレジットカード情報の適切な管理(非保持化またはPCI DSS準拠)
- 不正利用防止のための措置
- セキュリティ対策の実施状況の定期的な確認と報告
ガイドラインは、これらの法的要件を満たすための具体的な方法や基準を示す役割を果たしています。
2. 2025年版6.0改訂の主なポイント
改訂された背景(不正利用被害額の増加など)
2025年3月に公開された6.0版への改訂は、以下の背景を踏まえて行われました。
- 不正利用被害の急増:2023年の不正利用被害額は541億円に達し、前年比約35%増加。その93%がECサイトでの被害でした。
- 不正手口の高度化:AIを活用した高度ななりすまし手法やフィッシング詐欺の増加など、不正手口が巧妙化しています。
- リモートワークの定着:コロナ禍以降のリモートワーク環境下におけるセキュリティリスクへの対応が必要となりました。
- 国際基準の更新:国際的なセキュリティ基準であるPCI DSSの更新(v4.0への移行)に伴い、国内ガイドラインも改訂が必要となりました。
新たに追加された対策
1. 脆弱性対策の義務化
6.0版では、システムおよびWebサイトの脆弱性対策が義務化されました。
具体的には
- 定期的な脆弱性診断の実施(年1回以上)
- 発見された脆弱性の速やかな修正
- WAF(Webアプリケーションファイアウォール)の導入
- 最新のウイルス対策ソフトの導入と定期的な更新
2. EMV 3-Dセキュア導入
なりすましによる不正利用を防止するため、EMV 3-Dセキュア(3DS)の導入が義務化されました。
- 2026年までにEMV 3DS 2.0以上への対応が必須
- リスクベースでの本人認証(デバイス情報、購入履歴、位置情報などを活用)
- チャレンジフロー(ワンタイムパスワードなど)とフリクションレスフロー(裏側での認証)の使い分け
3. 不正ログイン対策
アカウントの乗っ取りを防止するために、以下の対策が新たに求められるようになりました。
- 多要素認証(MFA)の導入
- ログイン試行回数の制限
- 強固なパスワードポリシーの適用
- 不審なログイン検知システムの導入
4. 不正顕在化加盟店への追加対策
不正利用が多発している加盟店に対しては、追加の対策が求められるようになりました。
- 不正検知システムの強化
- リアルタイムでの取引監視
- カード会社との連携強化
- 不正発生状況に応じた追加対策の実施
5. PINバイパス廃止(対面取引)
対面取引においては、暗証番号入力のバイパス(省略)が廃止され、確実な暗証番号認証が求められるようになりました。
改訂による影響範囲
6.0版の改訂は、クレジットカード取引に関わる様々な事業者に影響を与えます。
1. EC事業者への影響
- EMV 3-Dセキュアの導入コスト
- 脆弱性診断の定期実施費用
- セキュリティ対策の強化による運用負担の増加
2. 決済代行事業者への影響
- セキュリティサービスの拡充が必要に
- 加盟店向けのサポート体制強化
- 不正検知システムの高度化
3. クレジットカード会社への影響
- 加盟店管理の強化
- 不正検知システムの精度向上
- 加盟店への教育・指導の拡充
4. 消費者への影響
- 決済時の本人認証手続きの増加
- セキュリティ強化による安全性の向上
- 不正利用被害の減少が期待できる
3. EC事業者が実施すべき具体的な対策
クレジットカード情報の非保持化
EC事業者にとって最も基本的かつ重要な対策は、クレジットカード情報の「非保持化」です。これにより、情報漏えいのリスクを大幅に軽減できます。
決済代行サービスの活用
決済代行サービス(PSP)を活用することで、カード情報を自社で保持せずに決済を行うことが可能になります。
- リダイレクト型:決済時に顧客をPSPの決済ページに誘導
- トークン型:カード情報をトークン(無意味な文字列)に置き換えて処理
- iframe型:自社サイト内にPSPの決済フォームを埋め込む
メリット
- セキュリティ対策のコスト削減
- 法的責任の軽減
- 専門的なセキュリティ知識が不要
主な決済代行サービス比較
| サービス名 | 特徴 | 初期費用 | 月額費用 | 決済手数料 |
|---|---|---|---|---|
| PAY.JP | APIが充実、開発者向け | 0円 | 0円〜 | 3.6%〜 |
| Stripe | 国際対応、高機能API | 0円 | 0円 | 3.6%〜 |
| GMOペイメント | 多機能、国内シェア大 | 要問合せ | 要問合せ | 3.0%〜 |
| PayPal | 国際対応、導入簡単 | 0円 | 0円 | 3.6%〜 |
| Square | 対面・非対面統合型 | 0円 | 0円 | 3.25%〜 |
PCI DSS準拠
カード情報を保持する必要がある場合は、国際セキュリティ基準「PCI DSS」への準拠が必須となります。
PCI DSSの主な要件
- セキュアなネットワークの構築と維持
- カード会員データの保護
- 脆弱性管理プログラムの維持
- 強力なアクセス制御措置の実装
- ネットワークの定期的な監視とテスト
- 情報セキュリティポリシーの維持
準拠レベル
| レベル | 基準 | 主な要件 |
|---|---|---|
| レベル1 | 年間60万件以上の取引 | 年次オンサイト審査、四半期ネットワークスキャン |
| レベル2 | 年間100万〜600万件の取引 | セルフアセスメント、四半期ネットワークスキャン |
| レベル3 | 年間2万〜100万件の取引 | セルフアセスメント、四半期ネットワークスキャン |
| レベル4 | 年間2万件未満の取引 | セルフアセスメント、必要に応じてスキャン |
サイバー攻撃への防御策
不正ログイン対策
アカウント乗っ取りを防止するための施策が重要です。
- 多要素認証(MFA)の導入
- SMSや認証アプリを使用した2段階認証
- 生体認証(指紋、顔認証など)の活用
- ハードウェアキーの導入
- ログイン試行回数の制限
- 連続失敗時のアカウントロック
- 一定時間後の再試行
- 不審なログイン検知時の警告
- 強固なパスワードポリシーの実施
- 最低8文字以上、大文字・小文字・数字・記号を含む
- 定期的なパスワード変更の推奨
- 過去に使用したパスワードの再利用禁止
- 不審なログイン検知システム
- 通常と異なるデバイスからのログイン検知
- 地理的に不自然な場所からのアクセス検知
- 短時間での複数回ログイン試行の検知
システムおよびWebサイトの脆弱性対策
Webサイトの脆弱性を狙った攻撃を防ぐための対策も必須です。
- 定期的な脆弱性診断
- 年1回以上の実施
- 外部専門機関による診断
- 自動診断ツールの活用
- WAF(Webアプリケーションファイアウォール)の導入
- SQLインジェクション対策
- クロスサイトスクリプティング(XSS)対策
- DDoS攻撃対策
- システム更新の徹底
- OSやソフトウェアの定期的なアップデート
- セキュリティパッチの迅速な適用
- サポート終了製品の使用中止
- アクセス権限の最小化
- 必要最小限の権限付与
- 定期的なアクセス権限の見直し
- 退職者のアカウント即時無効化
本人認証技術(例:EMV 3-Dセキュア)
クレジットカード利用時の本人認証を強化することで、なりすましによる不正利用を防止できます。
EMV 3-Dセキュアとは
EMV 3-Dセキュア(3DS)は、オンライン決済時にクレジットカードの真正な所有者であることを確認するための本人認証プロトコルです。
主な特徴
- カード発行会社によるリアルタイム認証
- リスクベース認証とユーザー認証の組み合わせ
- モバイルデバイスへの対応強化
3DS 1.0と3DS 2.0の比較
| 項目 | 3DS 1.0 | 3DS 2.0 |
|---|---|---|
| ユーザー体験 | ポップアップ画面、離脱率高 | シームレス、モバイル対応 |
| リスク評価 | 単純 | AI活用の高度な分析 |
| データ共有 | 制限的 | 約100種類のデータポイント |
| 認証方法 | パスワード中心 | 多様な認証方法対応 |
| モバイル対応 | 限定的 | ネイティブアプリにも対応 |
実装方法
EMV 3-Dセキュアを導入するには、以下の手順が必要です。
- 決済代行会社(PSP)との契約
- 3DSサーバーへの接続設定
- テスト環境でのシミュレーション
- 本番環境への展開
- 定期的なモニタリングと最適化
導入効果
- 不正利用率の低減(平均50%以上)
- チャージバック(カード会社による返金)リスクの軽減
- 責任移転(Liability Shift)によるEC事業者保護
- ユーザー体験の向上(フリクションレスフロー対応)
4. クレジットカード不正利用の現状と対策
不正利用被害額の推移と現状分析
クレジットカードの不正利用被害は年々増加傾向にあり、特にオンライン取引における被害が顕著です。
不正利用被害額の推移
| 年度 | 不正利用被害総額 | うちEC取引での被害額 | EC取引の割合 |
|---|---|---|---|
| 2019年 | 219億円 | 193億円 | 88.1% |
| 2020年 | 332億円 | 302億円 | 91.0% |
| 2021年 | 367億円 | 334億円 | 91.0% |
| 2022年 | 401億円 | 365億円 | 91.0% |
| 2023年 | 541億円 | 503億円 | 93.0% |
| 2024年(推定) | 650億円 | 611億円 | 94.0% |
この統計から、以下の傾向が読み取れます。
- 不正利用被害総額は5年間で約3倍に増加
- EC取引での被害が全体の90%以上を占める
- EC取引における被害の割合が年々増加している
主な不正利用手口(フィッシング詐欺、なりすまし等)
クレジットカードの不正利用手口は年々巧妙化しています。主な手口とその特徴を理解することが対策の第一歩です。
1. フィッシング詐欺
偽のメールやWebサイトを使ってカード情報を騙し取る手法
- 本物そっくりのサイトやメールでユーザーを騙す
- 緊急性を煽って焦らせる手法が多い
- SNSやメッセージアプリを悪用するケースも増加
最近の動向:AIを活用した精巧な偽サイト、偽メールが増加。言語の自然さも向上し、見分けが困難になっています。
2. 情報漏えいによるカード情報の悪用
他社からの情報漏えいでカード情報が流出し、それが悪用されるケース
- ECサイトのセキュリティ不備による大規模漏えい
- 従業員による内部不正
- データベース攻撃による情報窃取
最近の動向:漏えいしたカード情報がダークウェブで取引され、組織的に悪用されるケースが増加しています。
3. アカウントテイクオーバー(ATO)
ECサイトのユーザーアカウントを乗っ取り、登録済みのカード情報で不正購入
- パスワードリスト攻撃(他サイトで漏えいした認証情報を使用)
- ブルートフォース攻撃(総当たりでパスワードを推測)
- フィッシングによるログイン情報の窃取
最近の動向:ボットを使った大規模・自動化された攻撃が増加しています。
4. マンインザミドル攻撃
通信を途中で傍受してカード情報を盗む手法
- 公共Wi-Fiを悪用した通信傍受
- SSL/TLS通信の脆弱性を突く攻撃
- マルウェアによる通信の監視・改ざん
最近の動向:IoTデバイスの脆弱性を突いた攻撃が増加しています。
被害を防ぐためのベストプラクティス
EC事業者が実施すべき不正利用対策のベストプラクティスを紹介します。
1. 多層防御アプローチの採用
単一の対策ではなく、複数の防御層を組み合わせることで、不正利用の検知率を高めます。
- 本人認証(3Dセキュア)
- 不正検知システム
- マニュアルレビュー
- 配送先確認
2. 機械学習を活用した不正検知
AIと機械学習を活用して、怪しい取引パターンをリアルタイムで検知
- 購入履歴と異なる急な高額購入
- 通常と異なる時間帯や地域からの購入
- 短時間での複数回購入
- デジタルコンテンツなど転売しやすい商品の大量購入
3. 取引データの詳細分析
取引に関する様々なデータを収集・分析することで、不正の兆候を発見
- デバイス情報(指紋)
- IPアドレスと地理情報
- ブラウザや言語設定
- ECサイト内での行動パターン
4. 顧客教育の強化
顧客自身が不正利用を防ぐための知識を持つことも重要です。
- フィッシング詐欺の見分け方
- 安全なパスワード管理の方法
- カード利用通知サービスの活用
- 不審な請求への対応方法
5. インシデント対応計画の策定
不正利用が発生した場合の対応手順を事前に定めておくことも重要
- 被害の特定と影響範囲の把握
- 関係者への通知と情報共有
- 原因の究明と対策の実施
- 再発防止策の策定と実装
- 事後レビューと改善
これらの対策を組み合わせることで、不正利用のリスクを大幅に軽減することができます。
5. ガイドライン準拠によるメリット
ユーザー信頼性向上
セキュリティガイドラインに準拠することで、顧客からの信頼を獲得できます。
安心感の提供
- セキュリティマークやシールの表示
- プライバシーポリシーの明確な提示
- セキュリティ対策の具体的な説明
顧客満足度の向上
- 安全な決済環境の提供
- スムーズな購入体験
- 個人情報の適切な保護
リピート率の向上
セキュリティ対策が充実しているECサイトは、顧客のリピート率が平均15〜20%高いという調査結果もあります。セキュリティは顧客ロイヤルティの重要な要素となっています。
経営リスク軽減
適切なセキュリティ対策は、企業経営上のリスクを大幅に軽減します。
情報漏えいによる損害の防止
情報漏えいが発生した場合の企業への影響は甚大です。
- 顧客への賠償金支払い
- 信用失墜による売上減少
- 再発防止策のコスト
- 監督当局による罰則
事例:2020年に発生した大手ECサイトの情報漏えい事件では、約400万件のカード情報が流出し、50億円以上の損害が発生したと推定されています。
チャージバック(返金)リスクの軽減
不正利用が発生した場合のチャージバックによる損失を防ぎます
- 商品代金の損失
- チャージバック手数料の発生
- チャージバック率が高いと決済手数料の上昇リスク
事業継続性の確保
セキュリティ事故によるサービス停止や取引制限を防ぎ、事業の継続性を確保します。
- 加盟店契約の解除リスク防止
- システムダウンの防止
- 風評被害の軽減
法令遵守による競争優位性
法令遵守(コンプライアンス)は、単なる義務ではなく競争優位性にもつながります。
割賦販売法への対応
割賦販売法では、加盟店におけるセキュリティ対策が義務付けられており、違反した場合は罰則があります。
- 改善命令
- 業務停止命令
- 罰金
PCI DSS準拠の必要性
国際ブランド(Visa、Mastercard等)は、PCI DSS準拠を加盟店に求めています。
- 未準拠の場合、契約解除も
- 情報漏えい時の賠償金増加
- 罰金や高額な査定料の発生リスク
GDPR等の国際規制への対応
越境ECを行う場合、GDPR(EU一般データ保護規則)など国際的な規制への対応も必要です。
- 違反した場合、全世界売上高の最大4%または2,000万ユーロの制裁金
- EU市場へのアクセス制限リスク
先進的な取り組みによる差別化
セキュリティへの先進的な取り組みは、競合との差別化につながります。
- 顧客からの選好
- メディア等での好意的な評価
- 投資家からの信頼獲得
6. よくある質問(FAQ)
Q: ガイドラインに準拠しない場合のリスクは?
A: ガイドラインに準拠しない場合、以下のようなリスクがあります。
- 法的リスク:割賦販売法違反による行政処分や罰則
- 経営リスク:情報漏えいや不正利用による損害賠償、信用失墜
- 取引リスク:カード会社との加盟店契約解除や取引停止
- 技術的リスク:セキュリティ対策の不備によるシステム障害やサービス停止
特に深刻なのは、一度大きなセキュリティ事故が発生すると、その後の信頼回復に長い時間とコストがかかることです。調査によれば、セキュリティ事故後の顧客離れは平均で20〜30%、信頼回復までに2〜3年かかるケースも少なくありません。
Q: 中小企業でも対応可能なコスト効率的な方法は?
A: 中小企業でも無理なく対応できる方法はいくつかあります。
- 決済代行サービスの活用 小規模な事業者であれば、カード情報非保持化のために決済代行サービスを利用するのが最もコスト効率的です。初期費用0円のサービスも多く、月額費用も比較的リーズナブルです。
- クラウドベースのセキュリティサービス オンプレミスの高額なセキュリティ機器を導入せずとも、クラウドベースのWAFやセキュリティ監視サービスを月額制で利用できます。
- 段階的な対応 全ての対策を一度に実施するのではなく、リスクの高い領域から優先的に対応し、徐々に範囲を広げていく方法も有効です。
- 共同利用型サービス 中小企業向けに、複数社でセキュリティサービスを共同利用するタイプのサービスも増えています。コストを分散しながら高度なセキュリティを実現できます。
- セキュリティ診断サービスの活用 年に1回程度、外部の専門機関によるセキュリティ診断を受けることで、重大な脆弱性を発見し対処できます。多くの診断サービスは中小企業向けの料金プランを用意しています。
コスト別の対応策例
| 予算レンジ | 推奨対策 |
|---|---|
| 低予算(〜50万円) | 決済代行サービス利用、クラウドWAF導入、基本的なパスワード管理 |
| 中予算(50〜200万円) | 上記+脆弱性診断、セキュリティコンサルティング、不正検知サービス |
| 高予算(200万円〜) | 上記+専用WAF、リアルタイムモニタリング、内部教育プログラム |
Q: 実施状況をどのように確認すれば良いか?
A: ガイドライン対応の実施状況を確認するには、以下の方法が効果的です。
- セルフチェックリストの活用 日本クレジット協会が提供する「セキュリティ対策チェックリスト」を活用して、定期的に自社の対応状況を確認できます。
- 第三者機関による監査 専門のセキュリティ監査機関に依頼して、客観的な視点から対応状況を評価してもらうことも有効です。特にPCI DSS準拠状況の確認には、Qualified Security Assessor(QSA)による監査が推奨されます。
- ペネトレーションテスト 実際に攻撃者の手法を模した侵入テストを実施することで、セキュリティ対策の実効性を確認できます。年1回程度の実施が望ましいでしょう。
- 定期的な内部監査 社内のセキュリティ担当者による定期監査を実施し、日常的な運用状況を確認することも重要です。
- インシデント対応訓練 セキュリティインシデントが発生した場合の対応手順を確認するための訓練を定期的に実施することで、実際の事態に備えることができます。
監査頻度の目安:
| 項目 | 推奨頻度 | 備考 |
|---|---|---|
| 内部監査 | 四半期ごと | 運用状況の確認 |
| 脆弱性診断 | 半年ごと | 新たな脆弱性への対応 |
| セキュリティ監査 | 年1回 | 包括的な評価 |
| ペネトレーションテスト | 年1回または大きな変更時 | 実践的な防御力の確認 |
| PCI DSS準拠確認 | 年1回 | 要件の継続的な遵守 |
Q: 小規模ECサイトでも3-Dセキュアの導入は必須ですか?
A: はい、2025年版のガイドラインでは、取引規模に関わらず全てのECサイトでEMV 3-Dセキュアの導入が必須となっています。特に小規模サイトほど不正利用のターゲットになりやすいため、対策が重要です。
導入にあたっては、主要な決済代行サービスがEMV 3-Dセキュア対応のパッケージを提供しており、比較的容易に導入可能です。初期費用も抑えられるサービスが多いため、小規模事業者でも対応しやすくなっています。
Q: 既存のECサイトをガイドライン準拠に対応させる手順は?
A: 既存のECサイトをガイドライン準拠にするための手順は以下の通りです。
- 現状分析
- 現在のセキュリティ対策の棚卸し
- ガイドラインとの差分分析
- リスク評価
- 対応計画の策定
- 優先順位付け(リスクの高さに基づく)
- スケジュール設定
- 必要リソースの確保
- 非保持化/PCI DSS準拠対応
- 決済システムの見直し
- カード情報の扱いの変更
- 必要に応じたシステム改修
- 不正利用対策の実装
- 3-Dセキュアの導入
- 不正検知システムの実装
- 不審取引の監視体制構築
- 脆弱性対策の強化
- 脆弱性診断の実施
- 発見された脆弱性の修正
- WAFなどの防御策導入
- 運用体制の整備
- 社内ルールの策定
- 担当者の教育・訓練
- インシデント対応手順の整備
- 定期的な見直し
- 定期監査の実施
- 新たな脅威への対応
- ガイドライン改訂への対応
プロジェクト期間の目安: 小規模サイトで3〜6ヶ月、中規模サイトで6〜12ヶ月程度が一般的です。
まとめ
「クレジットカード・セキュリティガイドライン6.0版」は、不正利用防止と安全な取引環境構築に欠かせない指針です。2025年の改訂では、EMV 3-Dセキュアの導入義務化や脆弱性対策の強化など、重要な変更が多数盛り込まれました。
EC事業者にとっては、ガイドラインへの対応は単なる法令遵守にとどまらず、顧客信頼の獲得や経営リスクの軽減、競争優位性の確保につながる重要な取り組みです。特に不正利用被害が増加する中、適切なセキュリティ対策の実施は事業継続のために不可欠となっています。
本記事で解説した内容を参考に、自社のセキュリティ体制を見直し、安全なクレジットカード取引環境の構築に取り組んでいきましょう。ガイドライン対応は一度きりの対応ではなく、継続的な改善が重要です。テクノロジーの進化や不正手口の変化に合わせて、常に最新のセキュリティ対策を講じることが求められています。
安全なECサイト運営は、顧客と事業者双方にとって大きなメリットをもたらします。「安全」は最高の顧客体験の基盤であり、持続可能なビジネス成長の礎となるのです。