EC加盟店向けにセキュリティ対策の強化を求める、クレジットカード・セキュリティガイドラインの「6.0版」を公表 クレジット取引セキュリティ対策協議会
クレジット取引セキュリティ対策協議会は3月4日、「クレジットカード・セキュリティガイドライン」を改訂し「6.0版」を公表しました。同ガイドラインは割賦販売法におけるセキュリティ対策義務の「実務上の指針」とされ、クレジットカード情報の漏えいと不正利用の防止のためクレジットカード会社や加盟店、決済代行業者などが実施すべきセキュリティ対策が示されています。
ガイドラインにある「指針対策」を適切に講じる場合、割賦販売法が規定する措置を満たすと認められます。ガイドラインは2020年3月の1.0版策定以来、毎年3月に改訂され今回は5.0版からの更新となります。
主な改訂内容は大きくEC加盟店向けとカード会社・PSP(※)向けに分けることができます。EC加盟店向けでは主に①クレジットカード情報保護対策②不正利用対策において「指針対策」に追加がありました。カード会社・PSP向けではEC加盟店が取り組む①および②に関して必要な助言や情報提供を行うよう明記されました。
クレジットカード情報保護対策では例えば、EC加盟店のシステムおよびWebサイトの「脆弱性対策」の実施が追加されました。ウイルス対策や管理者権限の管理、デバイス管理などの徹底を求めます。具体的には①システム管理画面のアクセス制限と管理者のID・パスワード管理②データディレクトリの露見に伴う設定不備への対策③Webアプリケーションの脆弱性対策④マルウェア対策としてのウイルス対策ソフトの導入、運用⑤悪質な有効性確認、クレジットマスターへの対策――の5つすべてを導入することとしています。カード会社・PSPについては、EC加盟店が導入するこれら脆弱性対策について必要な助言や情報提供、サポートなどを行うと明記されました。
日本クレジット協会の調査によると、クレジットカードの不正利用被害額は2023年で540.9億円、2024年では555億円となりました。2023年においては被害額の93%はEC加盟店における「なりすまし」による不正利用だとしています。こうした実態を踏まえてカード決済時の対策である「EMV 3-Dセキュア」と、カード決済前の「不正ログイン対策」を不正利用対策の軸にしてカード決済後の対策(配送停止・配送保留やアカウント停止など)も含めた「線の考え方」に基づく対策導入が必要だとし、ガイドラインではこれを基本的な考え方としています。今般の改訂により不正利用対策を目的とした「指針対策」に「EMV 3-Dセキュア」の導入▽適切な不正ログイン対策の実施――が追加されました。
このほか、対面取引加盟店で行われていた「PINバイパス」(暗証番号スキップ機能)の廃止などが明記されています。PINバイパスは暗証番号の入力を本人サインで代替できる機能でしたが、本人確認の効果を有していないとして2025年3月をもって廃止されました。
※Payment Service Provider。インターネット上の取引においてEC加盟店にクレジットカード決済スキームを提供し、カード情報を処理する事業者のこと。
