近年、クレジットカードの不正利用被害額は右肩上がりで増加しており、特にECサイトを狙った不正注文・情報窃取は大きな経営リスクになっています。こうした状況を踏まえて、クレジット取引セキュリティ対策協議会は「クレジットカード・セキュリティガイドライン【5.0版】」を公表し、カード会社・加盟店・決済代行業者など関係事業者に求められる対策を大幅に整理しました。
本記事では、特にEC事業者・加盟店のご担当者向けに、5.0版ガイドラインの概要と改定ポイント、自社が今すぐ対応すべき必須対策を、事業者別・取引フェーズ別に分かりやすく解説します。
クレジットカード・セキュリティガイドライン5.0版は、カード情報漏えいと不正利用を防ぐために「関係事業者ごと×対面/非対面×決済前・決済時・決済後」で必要対策を具体的に整理した実務指針です。EC事業者や加盟店は、カード情報の非保持化/PCI DSS対応、不正利用対策(EMV 3-Dセキュア等)、脆弱性対策や不正ログイン対策を体系的に見直す必要があります。
1. クレジットカード・セキュリティガイドライン5.0版とは
1.1 ガイドラインの目的と位置づけ
クレジットカード・セキュリティガイドラインは、クレジットカード情報の保護と不正利用防止のために、カード会社・加盟店・決済代行業者など関係事業者が講じるべき対策をまとめた指針です。
このガイドラインは「法律」ではありませんが、クレジット取引セキュリティ対策協議会と日本クレジット協会が中心となって取りまとめており、事実上の業界標準として各事業者の実務に強い影響を及ぼしています。
ガイドラインの主な目的
- カード情報漏えい・不正利用の発生を抑制し、被害額を減らすこと
- EC加盟店を含む関係事業者が、何をどこまで行えばよいかを具体的に示すこと
- キャッシュレス社会の基盤として、安全・安心なクレジットカード利用環境を整備すること
EC事業者にとって、ガイドラインへの対応は単なるコンプライアンス対応ではなく、顧客の信頼を守り、ビジネスの継続性を確保するための重要な経営課題となっています。
1.2 4.0版から5.0版への改定の背景
5.0版は、2024年3月14日の第11回クレジット取引セキュリティ対策協議会で取りまとめられ、同年3月に公表されました。
改定の背景には、EC取引の拡大に伴うカード情報漏えいインシデントや、なりすまし注文・アカウント乗っ取りなどによる不正利用被害の増加があります。
4.0版と5.0版の主な違い
4.0版までは、「不正利用対策4方策」(3-Dセキュア、セキュリティコード、属性・行動分析、配送先情報)を組み合わせて1方策以上導入する考え方が中心でしたが、5.0版では「決済前・決済時・決済後」という時系列に沿って対策を整理し直しているのが大きな特徴です。
これにより、「どのタイミングで」「どのリスクに対して」「どのような対策を取るべきか」がより直感的に理解しやすくなりました。
1.3 ガイドラインの構成と対象事業者
5.0版ガイドラインは、全体構成として「カード情報保護対策」と「不正利用対策」「周知・啓発等」を軸に、関係事業者ごとに対面取引・非対面取引別の指針を示しています。
主な対象事業者
- カード会社(イシュア・アクワイアラ)
- 加盟店(実店舗の対面加盟店、EC加盟店など)
- 決済代行業者・PSP・ゲートウェイ事業者
- 端末メーカー、プロセッサ、カード情報を処理・保存する委託先 など
ガイドライン本文では、章ごとに事業者区分が整理され、各区分ごとに「カード情報保護」「不正利用対策」「周知・啓発」などの項目が細かく列挙されているため、自社がどの章を重点的に参照すべきかを見極めることが重要になります。
2. クレジットカード・セキュリティガイドライン5.0版の主な改定ポイント
2.1 事業者別・取引形態別に整理された構成変更
5.0版では、従来版の内容をベースに、「関係事業者ごと」かつ「対面取引」「非対面取引」別に、講じるべき対策がより具体的に示されています。
特にEC加盟店や決済代行事業者向けには、非対面取引に関するクレジットカード情報保護対策、不正利用対策、利用者への周知・啓発の項目が細かく整理されています。
ガイドラインの構成変更により見やすくなった観点
| 観点 | 内容 |
|---|---|
| 事業者区分 | 自社が該当する「加盟店」「決済代行業者」などの区分 |
| 取引形態 | 主に取り扱う「対面」「非対面」の区分 |
| 対策領域 | 関連する「カード情報保護」「不正利用」「周知・啓発」などの章 |
この構成により、事業者は自社に必要な対策を効率的に読み解けるようになりました。
2.2 カード決済前・決済時・決済後のフェーズ別対策
不正利用対策については、「カード決済前」「カード決済時」「カード決済後」のそれぞれの場面ごとに、導入すべき対策を整理する”線の考え方”が明確に打ち出されました。
フェーズ別の代表的な対策
| フェーズ | 主な対策内容 |
|---|---|
| 決済前 | アカウント登録・ログイン時の認証強化、多要素認証、不正ログイン検知 |
| 決済時 | EMV 3-Dセキュア等の本人認証、セキュリティコード入力、属性・行動分析によるリスクベース認証 |
| 決済後 | 返品・キャンセルを悪用した不正や、転売目的の大量購入などのモニタリング |
これにより、「3-Dセキュアを入れたから終わり」ではなく、ユーザーとの接点全体を通じた多層防御を設計することが求められるようになっています。
2.3 EMV 3-Dセキュアの早期導入の要請
5.0版では、オンライン決済時の本人認証手段として、EMV 3-Dセキュア(いわゆる3Dセキュア2.0)を重視する方針が明確になりました。
3-Dセキュアは、決済時にカード会社側でワンタイムパスワードや生体認証を行うことで、なりすまし利用を防ぐ仕組みです。
EMV 3-Dセキュアの特徴
- ユーザー体験の向上(リスクベース認証により、低リスク取引では認証をスキップ)
- セキュリティの強化(生体認証など多様な認証手段に対応)
- 不正利用時のチャージバック対策(加盟店のリスク軽減)
4.0版の段階から、2025年3月末までを目安に3Dセキュア2.0導入が推奨されていましたが、5.0版では、その優先順位や位置づけが一層強調されています。EC加盟店や決済代行事業者は、3-Dセキュアが利用できるカードブランド・決済手段を確認し、どの取引で原則必須とするか、例外ケースをどう扱うかなど運用ルールを設計することが重要です。
2.4 非保持化・PCI DSS準拠などカード情報保護対策の整理
カード情報保護対策としては、「非保持化」と「PCI DSS準拠」が引き続き重要な柱として位置づけられています。
非保持化とは
加盟店やECサイト側でカード番号などの機微情報を保存・処理・通過させないようにし、決済代行業者などに処理を委ねる考え方です。
一方で、業務上どうしてもカード情報を保持する必要がある場合は、国際的なセキュリティ基準であるPCI DSSの要求事項を満たし、「PCI DSS準拠」を達成することが求められます。
5.0版では、これらの考え方を前提としつつ、脆弱性対策やネットワークの安全な構成など、より実務に踏み込んだ内容が整理されています。
3. 関係事業者別に見る必要なセキュリティ対策
3.1 加盟店(EC加盟店・実店舗)が講じるべき対策
加盟店が講じるべき対策は、対面取引と非対面取引で性質が大きく異なります。
対面取引(実店舗)の主な対策例
- ICチップ対応端末の導入と、暗証番号(PIN)による本人確認の徹底
- カード情報が見える・残る形でのレシートや控えの管理、不要な保管の禁止
- カード情報非保持化(決済端末から自社システムにカード番号を通さない)
非対面取引(EC加盟店)の主な対策例
- カード情報非保持化もしくはPCI DSS準拠の実現
- EMV 3-Dセキュア導入と、金額・商品・リスクに応じた本人認証の運用設計
- 属性・行動分析や不正注文検知サービスの活用
- フィッシングサイト・なりすましサイト対策と、利用者への注意喚起
特にEC加盟店では、カード情報そのものを持たない構成(トークン決済など)に切り替えることで、セキュリティリスクとコンプライアンス負荷を大幅に減らすことができます。
3.2 決済代行業者・PSPが講じるべき対策
決済代行業者・PSPは、多数の加盟店のカード処理を担うインフラ事業者として、より高度な技術的・組織的対策が求められます。
主な対策ポイント
| 対策領域 | 具体的な内容 |
|---|---|
| カード情報処理 | ライフサイクル全体にわたる安全な処理(暗号化・トークン化・キー管理) |
| 脆弱性対策 | 自社システム・APIの対策(パッチ適用、WAF、侵入テストなど) |
| 不正モニタリング | 不正利用モニタリング基盤の整備と、加盟店へのアラート・レポート提供 |
| 委託先管理 | データセンター・開発委託先などの管理徹底 |
5.0版の段階から、6.0版での「脆弱性対策」明確化につながる流れがあり、決済代行業者は早い段階からWebアプリケーションやAPIのセキュア開発・運用プロセスを整備しておくことが期待されています。
3.3 カード会社(イシュア・アクワイアラ)の役割と対策
カード会社は、イシュア(発行会社)とアクワイアラ(加盟店契約会社)の立場から、不正利用防止と加盟店支援の両面で重要な役割を担います。
代表的な対策
- EMV 3-Dセキュアの推進ロードマップの提示と、加盟店・決済代行への導入支援
- 不正利用モニタリング(スコアリング、行動分析)と、利用者への利用通知・ワンタイムパスワードの発行
- 加盟店のセキュリティ対策状況の確認、セキュリティ・チェックリストの活用促進
- コード決済等の連携時におけるカード情報保護と不正対策の整理
5.0版で示された考え方は、その後の6.0版において「不正ログイン対策の実施」「EMV 3-Dセキュア導入の義務化」といった形でさらに強化されています。
3.4 共同で実施すべき周知・啓発・フィッシング対策
ガイドラインでは、カード会社・加盟店・決済代行業者などが連携して、カード会員への周知・啓発を行うことの重要性も強調されています。
主な啓発内容
- フィッシングメールや偽サイト、SMS詐欺などへの注意喚起
- ID・パスワードの使い回し防止や、多要素認証設定の推奨
- 不審な利用通知が来た場合の連絡先・対応手順の明示
- カード情報やワンタイムパスワードを第三者に教えないことの徹底
これらは、技術的な防御だけでは防ぎきれない「人」を狙った攻撃に対する重要な防波堤となるため、EC事業者としても自社サイト・メール・FAQなどで積極的に情報提供することが求められます。
4. EC事業者・加盟店が今すぐ確認すべきチェックリスト
4.1 自社がどの事業者区分・取引形態に該当するかを確認
5.0版ガイドラインを読み解く最初のステップは、「自社がどの事業者区分に入り、どの取引形態を主に行っているか」を明確にすることです。
公式ガイドラインでは、章ごとにカード会社・加盟店・決済代行などの役割が整理されているため、自社が該当する箇所を特定することで、効率的に必要箇所を読み進められます。
確認ポイント
- 自社は「EC加盟店」「実店舗加盟店」「決済代行業者」のいずれに該当するか
- 主な取引は「対面」「非対面」のどちらか
- 決済処理を自社で行っているか、外部PSPに委託しているか
EC事業者の場合、多くは「EC加盟店(非対面取引を行う加盟店)」としての対策が中心になりますが、自社で決済処理を行っているか、外部PSPに全面委託しているかによっても対応範囲が変わります。
4.2 カード情報非保持化・PCI DSS対応の状況チェック
次に、カード情報の取り扱い状況を棚卸しし、「非保持化」が達成されているか、または「PCI DSS準拠」が必要な状況にあるかを確認します。
チェックすべきポイント
| チェック項目 | 確認内容 |
|---|---|
| カード情報の保存 | 自社サーバにカード番号や有効期限、セキュリティコードを保存していないか |
| 決済フォーム | PSPが提供するホスト型・トークン型になっているか |
| 過去データ | ログ・バックアップ・テストデータにカード情報が残っていないか |
| PCI DSS準拠 | 非保持化が難しい場合、PCI DSS準拠のスコープがどこまでか明確になっているか |
これらを洗い出すことで、どのシステムを入れ替えるべきか、どこにPSPの機能を活用すべきかが見えてきます。
4.3 EMV 3-Dセキュア導入・本人認証フローの見直し
次に、EMV 3-Dセキュアなどの本人認証手段の導入状況と、その運用ルールを確認します。
確認・検討すべき論点
- 利用している決済手段(カードブランド)ごとに、3-Dセキュア2.0が利用可能か
- どの取引条件で3-Dセキュアを「原則必須」とするか(高額取引、新規顧客、デジタルコンテンツ等)
- 属性・行動分析などのリスクベース認証と組み合わせて、ユーザー体験とのバランスをどう取るか
- 3-Dセキュア導入を加盟店に提供するPSP側の仕様・制約
5.0版の考え方は、その後の6.0版で「EMV 3-Dセキュア導入の義務化」としてさらに強化されているため、早めの導入・検証が重要です。
4.4 不正注文・不正ログイン検知の仕組みの有無
不正対策の重点は、単なる本人認証から、アカウント不正ログインや不正注文の検出へと広がっています。
EC事業者が確認すべき項目
| 対策領域 | 確認ポイント |
|---|---|
| ログイン認証 | 多要素認証や追加認証を導入しているか |
| 不正ログイン検知 | ログイン試行回数、IPアドレス、端末情報、行動パターンなどをもとに検知できるか |
| 不正注文検知 | 短時間での大量注文、異常な配送先変更、高リスク地域からのアクセスなどを検知するルールがあるか |
| 外部サービス活用 | 不正検知サービス(属性・行動分析ツール)をPSPや外部ベンダーから導入しているか |
5.0版では、これらの考え方が整理されたうえで、6.0版では「不正ログイン対策の実施」が明確に求められるようになっており、中長期的にはログイン防御と決済防御をセットで整備することが不可欠になります。
4.5 社内体制・教育・マニュアル整備
最後に見落とされがちなのが、社内体制や教育・マニュアルといった運用面の整備です。
チェックポイント
- カード情報や個人情報にアクセスできる権限を最小限に絞っているか
- 不正利用や情報漏えいが疑われるインシデント発生時の対応手順が文書化されているか
- 新入社員やカスタマーサポート向けに、クレジットカード取扱ルールの研修を定期的に行っているか
- 委託先(コールセンター、倉庫など)にも、ガイドラインに沿った対応を求めているか
技術的な対策だけでは十分ではなく、「人とプロセス」を含めて全体の運用を設計することが、ガイドラインの意図にも合致します。
5. 5.0版から今後の6.0版・最新動向へのつなぎ
5.1 5.0版の考え方は6.0版でも継続して重要
2025年3月には、5.0版を踏まえた「クレジットカード・セキュリティガイドライン【6.0版】」が公表され、特にEC加盟店向けの不正利用対策がさらに強化されました。
しかし、決済前・決済時・決済後の流れに沿って対策を講じるという基本的な考え方は、5.0版から一貫しており、6.0版でも継続して重要な位置づけになっています。
そのため、5.0版で示された「事業者別×取引形態別×フェーズ別」の整理を理解しておくことは、6.0版対応をスムーズに進めるうえでも大きな助けになります。
5.2 6.0版でさらに強化されたポイントの概要
6.0版では、5.0版で示された方向性を踏まえたうえで、特にEC加盟店向けに次の3点が明確に追加されています。
6.0版で追加された主な要件
- EC加盟店のシステムおよびWebサイトの「脆弱性対策」の実施
- 「EMV 3-Dセキュア導入」の明確な要請
- 「不正ログイン対策の実施」の明示
これは、単にカード情報を非保持化すればよいという段階から、Webアプリケーションやアカウント管理のレイヤーまで含めた総合的な対策が求められるフェーズに入ったことを意味します。
5.3 今から準備しておきたい中長期的なセキュリティ投資
5.0版への対応は、単なる「一度きりの対応」ではなく、その先の6.0版以降の継続的なセキュリティ強化への土台作りと捉えるのが現実的です。
中長期的に検討したい投資の方向性
| 観点 | 具体的な投資内容 |
|---|---|
| システム | 非保持化・トークン決済、EMV 3-Dセキュア対応、脆弱性対策基盤、不正検知エンジンの導入 |
| 運用 | インシデント対応フロー、ログ監視・アラート、定期的な脆弱性診断・ペネトレーションテスト |
| 人材 | セキュリティ担当者の育成、EC担当者・カスタマーサポート向けセキュリティ教育の継続 |
これらを段階的に進めることで、ガイドラインのバージョンアップに追われるのではなく、自社のビジネスリスクとコストのバランスを取りながら、計画的なセキュリティレベル向上を図ることができます。
まとめ
クレジットカード・セキュリティガイドライン5.0版は、EC事業者・加盟店にとって、カード情報保護と不正利用対策を体系的に見直す重要な指針となっています。
本記事で解説した主なポイントは以下の通りです。
- 5.0版の特徴:事業者別・取引形態別・フェーズ別に対策が整理され、実務への落とし込みがしやすくなった
- 改定のポイント:決済前・決済時・決済後の多層防御、EMV 3-Dセキュアの重視、非保持化・PCI DSS準拠の継続
- 事業者別対策:加盟店、決済代行業者、カード会社それぞれに求められる役割と対策を理解する
- 実務チェックリスト:自社の事業者区分確認、非保持化・PCI DSS対応、3-Dセキュア導入、不正検知、社内体制整備
- 今後の動向:6.0版への継続性を理解し、中長期的な投資計画を立てる
EC事業者の皆様は、本記事を参考に、自社の現状を確認し、必要な対策を計画的に進めていただければと思います。セキュリティ対策は一度で終わるものではなく、継続的な改善が求められます。ガイドラインを活用して、顧客の信頼を守り、安全なEC運営を実現していきましょう。