クレジットカード・セキュリティガイドラインとは

クレジットカード・セキュリティガイドラインとは、クレジットカード決済に関係する事業者が実施すべきセキュリティ対策が定められたもので、割賦販売法に規定するセキュリティ対策義務の実務指針と位置付けられています。2020年3月より公表されており、クレジットカード決済を導入する事業者様を含む関連業者による健全な取引と消費者の保護を目指しています。

クレジットカード・セキュリティガイドライン策定の背景

クレジットカード決済は国の重要インフラと位置付けられています。インバウンド需要の増加も背景に、日本国内におけるクレジットカード取引環境のセキュリティを国際水準に引き上げるべく2015年にクレジット取引セキュリティ協議会が発足しました。協議会が主体となり、割賦販売法に規定されたセキュリティ対策義務の実務上の指針として策定されたのがクレジットカード・セキュリティガイドラインです。ガイドラインに掲げられている措置またはそれと同等以上の措置を適切に講じている場合、割賦販売法で定めるセキュリティ対策の基準を満たしていると認められています。

2022年の不正被害額は過去最高に

2022年のクレジットカード不正被害額は過去最高の約440億円となりました。

現在、最も被害が大きく、引き続き増加傾向にあるのが番号盗用被害。400億円以上の被害額は、広く国民のリスクとなっています。被害額増加の要因としてダークウェブなどを介した番号売買やフィッシング詐欺など攻撃手法の巧妙化などがあげられます。

不正対策としてクレジットカード・セキュリティガイドラインが果たす役割

クレジットカード・セキュリティガイドラインでは、2020年3月に偽造カード被害の抑制を目的とし、クレジットカードのIC化を定めました。その結果、2019年から偽造カード被害額が大幅に減少、ガイドラインに即した対応で被害防止に貢献しています。

クレジットカード・セキュリティガイドラインの3つの柱

クレジットカード・セキュリティガイドラインで定める対策は大きく3つに分類されます。

①情報保護対策

情報漏えいに対抗する手段として、対面決済・非対面決済の場面いずれでもクレジットカード情報の非保持化またはPCI DSS準拠が定められています。ここでいう非保持化とは、クレジットカード情報を自社の機器・ネットワークに保存・処理・通過させないことを指します。この非保持化対応を実施することで、外部からの侵入による直接的なクレジットカード情報の抜き取り（情報漏えい）は防ぐことが可能と考えらえています。

②対面決済における不正利用対策

カードのIC化100%を目指すことが挙げられます。この対策は前述の通り一定の成果を収めているため、引き続きカード会社（イシュアー）によるカードIC化を進めていくこととなります。

③非対面決済における不正利用対策

クレジットカード情報の非保持化で一定の抑制効果が得られたものの、攻撃手法が多様化・巧妙化しているため、多面的・重層的な不正利用対策として、4方策の導入を掲げています。

1. 本人認証
2. 券面認証
3. 属性・行動分析
4. 配送先情報

その中で4方策の対象は
・高リスク加盟店で1つ以上、
・不正顕在化加盟店で2つ以上の対応が求められています。

クレジットカード・セキュリティガイドラインに対応しないとどうなる？

クレジットカード・セキュリティガイドラインは割賦販売法に基づく実務上の指針であるため罰金・罰則は設定されていません。しかし、カード会社（アクワイアラー）が提示する加盟店義務を怠ると、カード会社（アクワイアラー）から加盟店契約の解除といった措置が取られる可能性が出てきます。加盟店契約解除となった場合はクレジットカード決済を利用することができません。
さらに加盟店情報交換センター（JDM）での情報公開がなされ、契約解除情報は別カード会社からも閲覧可能となるため、不適格加盟店と認識される場合や指摘内容が改善されなければ他のカード会社（アクワイアラー）とも加盟店契約が結べないままとなる可能性がありますので、事業継続に大きなリスク・損失が発生すると考えておいた方がいいでしょう。

クレジットカード・セキュリティガイドライン対象となる業種・業界・事業者は？

クレジットカード・セキュリティガイドラインでは、ガイドラインを遵守すべき対象事業者について、1号から７号に定められています。

クレジットカード決済における各事業者の仕組みについては以下の記事で詳しくご紹介していますのでご参照ください。

https://www.gmo-pg.com/blog/articles/article-0101/

2020年の改正割賦販売法に定められた事業者ごとに、具体的なセキュリティ対策項目がガイドラインに定められています。

クレジットカード・セキュリティガイドラインはどのように決まるのか？

クレジットカード・セキュリティガイドラインは消費者のリスクとなる不正対策を念頭に、クレジットカード取引セキュリティ協議会が主体となり策定されています。ガイドライン内容については有識者・カード会社・決済代行業者・セキュリティ関連ベンダー・ECモールなど各号の事業者からなる委員によって、昨今の時流に沿った実務上の指針を示すため議論が続けられています。そのため、ガイドライン内容は年に一度改定版が公表され、その都度必要な具体的内容を追加、今後の対策の目安を示す、といった形で割賦販売法における適切なセキュリティ対策が遵守できるようアップデートされているのです。
割賦販売法上では"セキュリティ対策においても適切に管理しなければならない"などの記載にとどまっているため、クレジットカード・セキュリティガイドラインの内容が実務上の指針として機能しています。

EC事業者様ではどのような対応が必要か？

クレジットカード・セキュリティガイドラインに策定される3本柱の対策を導入しましょう。

①情報保護対策
決済代行業者のサービスを利用することにより、クレジットカード情報の非保持化を達成することが可能です。しかし、昨今の情報漏えい事案にもあるように、多様化する攻撃に備える基本的なセキュリティ対策が必要なことに変わりはありません。例えば、システム上の設定不備への対策（パスワード管理等）、脆弱性診断・対策、ウイルス対策等がなされているか確認しましょう。

②非対面決済における不正利用対策
4方策（本人認証、券面認証、属性・行動分析、配送先情報）の導入を進めましょう。
本人認証の一つである、EMV 3-Dセキュア（3Dセキュア2.0）は2025年3月末までにすべての加盟店対象が導入必須となりました。

さらに、以下の加盟店は複数の導入を求められています。

高リスク加盟店

EMV 3-Dセキュア（3Dセキュア2.0）を含む4方策のうち1つ以上対応

対象：以下の商材を扱うEC加盟店
・デジタルコンテンツ（オンラインゲームを含む）
・家電
・電子マネー
・チケット
・宿泊予約サービス

不正顕在化加盟店

EMV 3-Dセキュア（3Dセキュア2.0）を含む4方策のうち２つ以上対応

対象：3ヶ月連続チャージバック50万円以上　※
※今後は、EMV 3-Dセキュア（3Dセキュア2.0）導入済みとなるとチャージバックが発生しにくくなるため、アクワイアラー判断による要請に対応していくこととなる可能性があります。

また、ECサイト構築の際に参照すべき、独立行政法人情報処理推進機構（IPA）が定める「ECサイト構築・運用セキュリティガイドライン」も存在します。クレジットカード決済に限らず、ECサイト全体における個人情報保護の観点から基本的なセキュリティ対策（脆弱性対策・ウイルス対策・管理者権限の対策・デバイス管理）などの内容を規定していますので、サイト構築の際はECサイト構築・運用セキュリティガイドラインもあわせてご確認ください。

クレジットカード・セキュリティガイドライン対応には決済代行業者の利用が不可欠

決済代行業者では、PCI DSS準拠・クレジットカード情報非保持化対応・不正利用対策といったクレジットカード・セキュリティガイドラインで定められる内容をカバーするソリューションを提供しています。
GMO-PGでは、豊富なセキュリティソリューションのラインナップをご用意。さらに加盟店様ごとの状況に対応したご提案とサポートが強みです。

次回は、2023年3月に公開されたクレジットカード・セキュリティガイドライン改訂版の具体的内容と、GMO-PGが取り揃える具体的なセキュリティメニューについてご紹介いたします。