「クレジットカード・セキュリティガイドライン」が改訂　原則全てのEC加盟店は2025年3月までにEMV 3-Dセキュアを導入

2024年3月14日に「クレジット取引セキュリティ対策協議会第11回本会議」が開催され、クレジットカード取引に関わる事業者が実施すべきセキュリティ対策を定めた「クレジットカード・セキュリティガイドライン」が改訂された。本記事では主な改訂内容など一部を紹介する。

原則全てのEC加盟店が2025年3月までにEMV 3-Dセキュア導入を

今回決定された主な改訂内容は以下の通り。

◆クレジットカード情報保護対策
▷2025年4月以降、全てのEC加盟店は、「セキュリティ・チェックリスト」記載のぜい弱性対策等のセキュリティ対策を実施することを求める。
▷アクワイアラー（※1）・PSP（※2）は、EC加盟店に対して「セキュリティ・チェックリスト」に記載されているセキュリティ対策を実施する必要性を周知する。

◆不正利用対策
原則全てのEC加盟店における、EMV 3-Dセキュア導入に向けた2025年3月末までの取り組みが記載。

▷EC加盟店
EC加盟店は、EMV 3-Dセキュアの導入計画を策定し、早期の導入に着手する。不正利用が多発している加盟店は、EMV 3-Dセキュアの即時導入に着手する。
▷アクワイアラー・PSP
不正利用が多発している加盟店のEMV 3-Dセキュアの即時導入着手など、不正利用発生リスクに応じた2025年3月末までのEMV 3-Dセキュアの導入計画の策定及び導入を働きかける。EC加盟店と新規に加盟店契約する際は、2025年3月末までにEMV 3-Dセキュアを導入することを説明した上で契約する。
▷イシュアー（※3）
自社カード会員に対してEMV 3-Dセキュアの登録を強く推進するための取組を行い、2025年3月末時点においてEC利用会員ベースで80％のEMV 3-Dセキュア登録を目指す。2025年3月末時点でEMV 3-Dセキュア登録会員ベースで100％の「静的（固定）パスワード」以外の認証方法への移行を目指す。

※1： クレジットカード加盟店を開拓し、加盟店契約を締結する事業者
※2：インターネット上の取引においてEC加盟店にクレジットカード決済スキームを提供し、カード情報を処理する事業者
※3：クレジットカードを発行する事業者

改訂内容の把握と対策を

「クレジットカード・セキュリティガイドライン」とは、安全・安心なクレジットカード利用環境を整備するため、クレジットカード会社、加盟店、PSP等のクレジットカード決済に関係する事業者が実施すべきクレジットカード情報の漏えい及び不正利用防止のためのセキュリティ対策の取り組みを取りまとめたものである。

同ガイドラインは、割賦販売法に規定するセキュリティ対策義務の「実務上の指針」として位置づけられている。

今回の改訂では2025年3月末までの、原則全てのEC加盟店のEMV 3-Dセキュア導入へ向けた動きに加え、カード情報保護対策及び不正利用対策が示された。

◆出典：クレジットカード・セキュリティガイドライン【5.0版】 改訂ポイントp.11（クレジット取引セキュリティ対策協議会）

顧客の安全を守ることはECショップの信頼性向上に直結する。巧妙化するクレジットカード不正利用に対応するためにも、各事業者は今回の改訂内容を把握し、対策を講じる必要があるだろう。