クレジットカード・セキュリティガイドライン「4.0版」が改訂

ECのミカタ編集部

クレジットカード・セキュリティガイドライン【4.0版】が改訂されました

令和5年3月14日、「クレジット取引セキュリティ対策協議会第10回本会議」(事務局:一般社団法人日本クレジット協会)が開催され、クレジットカード取引に関わる事業者が実施するべきセキュリティ対策を定めた「クレジットカード・セキュリティガイドライン」が改訂された。
本記事では、改訂内容の一部を抜粋して記載する。

2025年3月末までにEMV3-Dセキュアの導入を求める

今回決定された改定内容の一部は、以下の通りとなっている。

◆クレジットカード情報保護対策

▷EC加盟店は、新規の加盟店契約の申込前に自らECサイトにセキュリティ対策を実施し、契約申込みの際にアクワイアラー(※1)又はPSP(※2)に脆弱性対策等のセキュリティ対策の実施状況を記載した申告書を提出する。

▷アクワイアラー及びPSPは、EC加盟店に対して、新規の加盟店契約の申込みに際してEC加盟店自らのセキュリティ対策の実施とその申告を求めるとともに、申告内容をもとにセキュリティ対策の実施状況を確認する。

◆不正利用対策

▷原則、全てのEC加盟店は、2025年3月末までにEMV3-Dセキュアの導入を求める。

▷ イシュアー(※3)は、EMV 3-Dセキュアの本人認証方法として「静的(固定)パスワード」から「動的(ワンタイム)パスワード」等の認証方法への移行環境を整え、2025年3月末までに自社カード会員が「動的(ワンタイム)パスワード」等の認証方法へ登録・移行するよう取組む。

◆消費者及び事業者等への周知・啓発

▷イシュアーは、カード会員によるEMV3-Dセキュアの登録、「動的(ワンタイム)パスワード」等の認証方法の登録・移行を促進するためのカード会員への周知、啓発を行う。

▷イシュアーは、カード会員に対して、不正利用被害の防止のために、利用明細の確認、身に覚えのない取引があった場合のイシュアーへの連絡等の重要性についての周知、啓発活動に取組む。

※1:クレジットカード加盟店を開拓、加盟店契約を締結する事業者
※2:インターネット上の取引においてEC加盟店にクレジットカード決済スキームを提供し、カード情報を処理する事業者
※3:クレジットカードを発行する事業者

より詳しい内容については、以下「クレジットカード・セキュリティガイドライン[4.0版](改訂ポイント)」を参照
https://www.j-credit.or.jp/security/pdf/Creditcardsecurityguidelines_4.0_revisionpoint.pdf

安心安全なクレジットカード利用環境を整備

「クレジットカード・セキュリティガイドライン」とは、安全・安心なクレジットカード利用環境を整備するため、クレジットカード取引に関わるカード会社、加盟店、決済代行業者等の関係事業者が実施するべきクレジットカード情報漏えい及び不正利用の防止のためのセキュリティ対策の取組を取りまとめたものだ。

また、同ガイドラインは、割賦販売法に規定するセキュリティ対策義務の「実務上の指針」として位置づけられており、同ガイドラインに「指針対策」として掲げられている措置又はそれと同等以上の措置を適切に講じている場合には、同法で定めるセキュリティ対策の基準を満たしていると認められる。

今回の改訂では、2025年3月末までに全てのEC加盟店はEMV3-Dセキュアの導入を求めるなどが定められた。顧客が安心してカード決済を利用できる環境作りのためにも、最新の対策を講じることは必須だろう。カードの不正利用被害が少なくなれば、ECサイトを利用する顧客母数も増えることが想定される。今回の改訂によってどのように市場が変化していくのか、動向に注目すべきといえるだろう。

ECのミカタ通信23号はこちらから


記者プロフィール

ECのミカタ編集部

ECのミカタ編集部。
素敵なJ-POP流れるオフィスにタイピング音をひたすら響かせる。
日々、EC業界に貢献すべく勉強と努力を惜しまないアツいライターや記者が集う場所。

ECのミカタ編集部 の執筆記事