3Dセキュア必須化から1年。ガイドライン6.1版が示す不正抑制と売上向上の両立

3Dセキュア導入から1年、売上最大化と不正抑制を両立する新基準とは

「EMV 3-Dセキュア（以下、3Dセキュア）」原則必須化から1年。日本クレジット協会の公表値では、2025年のクレジットカード不正利用被害額は前年比で減少しており、番号盗用被害額も減少しています。一方、現場では「カゴ落ち」や「オーソリ承認率低下」という、売上に直結する課題が依然として残っています。こうした中、2026年3月12日、最新のロードマップとなる「クレジットカード・セキュリティガイドライン【6.1版】」が公表されました。今回の改訂では新たな指針対策の追加こそありませんが、それは「これまで示されてきた対策をいかに着実に遂行するか」が、巧妙化する攻撃を防ぐ解であることを示唆しています。本記事では、クレジット取引セキュリティ対策協議会傘下のワーキンググループメンバーでもあるGMOペイメントゲートウェイ（以下、GMO-PG）財津 拓郎が、改めて強調された「多層防御」の重要性と、新たに追加された附属文書をもとに2026年のECセキュリティ対策を徹底解説。セキュリティをコストで終わらせず、ビジネス成長の投資へと昇華させるための具体策を提示いたします。

クレジットカード・セキュリティガイドライン 6.1版でEC事業者に求められる対応の概要

2026年3月12日に公表されたクレジットカード・セキュリティガイドライン 6.1版において、EC事業者に新たに求められる対応項目の追加はありません。これは、これまでに示されてきた以下の対策が、引き続きECビジネスの安全性を担保するための根幹であり、今の脅威に対抗するための正解であると再定義されたことを意味します。

従前のガイドライン 6.0版から継続して、EC事業者に求められる主要な対応は以下の2点に集約されます。

1. EC加盟店におけるカード情報保護対策への指針
- EC加盟店のシステム及びWebサイトの「脆弱性対策」の実施

2. EC加盟店における不正利用対策への指針
- EMV 3-Dセキュアの導入
- 適切な不正ログイン対策の実施

6.1版では、これらの基盤となる対策を前提とした上で、3Dセキュア導入後の「カゴ落ち」や「オーソリ承認率低下」といった新たな課題を克服し、高度化するサイバー攻撃に対応するための「多層防御」の考え方が、より深く掘り下げられています。

3Dセキュア必須化の評価―「不正減少」の裏側に潜む経営リスク

2025年、日本のEC決済シーンは大きな節目を迎えました。割賦販売法の実務的指針である「クレジットカード・セキュリティガイドライン」にて示された通り、原則全てのEC加盟店に対し本人認証として「3Dセキュア」の導入が必須とされたのです。今回のクレジットカード・セキュリティガイドライン 6.1版では、導入から約1年が経過した現時点で、その成果と課題を改めて整理することが求められています。

数字が語る3Dセキュアによる「不正抑制」の成功

日本クレジット協会（JCA）が発表する統計によれば、2021年から急増を続けていた番号盗用による不正被害額は、2025年を境に明らかな減少傾向を見せています。これは、EC事業者による3Dセキュア対応が進み、3Dセキュアによるリスクベース認証が機能したことにより不正利用を抑えられているという証左です。

3Dセキュアによる本人認証では、流入した取引に対し、カード発行会社（イシュアー）がデバイス情報やカード情報・それらに紐づく情報などをもとに、真正な本人からの取引であるかどうかを判定します。カードホルダー本人である=「（本人以外である）リスクが低い」と判断すれば、ユーザーに手間をかけさせず取引が完了します。

従来の3Dセキュア（3Dセキュア1.0）では都度パスワード等の入力が必要だったのに対し、フリクションレスフローにより多くのユーザーはパスワード入力なしで本人認証を経由した取引を行うことが可能となりました。3Dセキュア原則導入必須化により「守りの標準化」が、日本の決済インフラにおける安全性の底上げに寄与していると考えられます。

顕在化した「カゴ落ち」と「承認率」のジレンマ

不正利用は抑えられたものの、加盟店様からはいくつかの課題も上がってきています。

一つは、リスクベース判定において、リスク【中】と判定された際に求められる追加認証（チャレンジ認証）における「カゴ落ち」です。追加認証時に発行されるワンタイムパスワードの入力ミスや、認証画面が立ち上がるまでのタイムラグが障壁となり購入意欲が削がれた結果、決済画面からの離脱へとつながっている、というものです。

さらに、カード発行会社（イシュアー）側での「不正判定の厳格化」も無視できません。3Dセキュアの認証を行った取引は、原則チャージバックリスクはカード発行会社（イシュアー）が負っています。チャージバックリスクを抑えるためにも不正利用の判定が厳しくなり、本来は正当なユーザーであるはずの取引を「疑わしい」として拒絶してしまう「リスクベース認証の誤判定」や「オーソリ承認率の低下」も見られます。これも加盟店様にとっての機会損失を意味します。セキュリティを強めた結果、優良な顧客を追い払ってしまう――このパラドックスを解消するための方策が今回のクレジットカード・セキュリティガイドライン 6.1版で提示されています。

高度化するサイバー攻撃の「現在地」―なぜ3Dセキュアだけでは足りないのか

クレジットカード・セキュリティガイドライン 6.1版が公開された背景の一つには、攻撃手法の進化・高度化が挙げられます。かつてのリスト型攻撃や単純な情報窃取は過去のものとなり、現在の攻撃者は組織化され、最新テクノロジーを駆使しアタックしてきています。ここでは、新たに公開された「不正利用の抑止を実現する加盟店の事例集」をお手本に、最新の不正事例をご紹介します。

1. 「リアルタイムフィッシング」の衝撃

現在、広く警戒されているのが「リアルタイムフィッシング」です。攻撃者は、精巧に作られた偽のECサイトやログイン画面にユーザーを誘導します。ここまでは従来通りですが、驚くべきはその後のスピードです。

ユーザーが偽サイトにカード情報やワンタイムパスワードを入力した瞬間、裏側に潜む攻撃プログラムが「リアルタイム」で正規の決済画面にその情報を流し込みます。つまり、3Dセキュアという「鍵」を、ユーザー自身に開けさせる仕組みです。この手法の前では、どれほど堅牢な認証システムも無効化されてしまいます。

巧妙化するリアルタイムフィッシングに対し、3Dセキュア単体ではなく、本ガイドラインの附属付属文書でも紹介されている「属性行動分析（不正検知システム）」とのハイブリッド運用が、引き続き強固な盾であることが示されています。

2. 認証をすり抜ける「アカウント盗用（ATO）」

もう一つの脅威は、アカウント・テイクオーバー（ATO）です。フィッシングやウイルス感染によって得たID・パスワードで、正規の会員になりすましてECサイトにログインします。

会員情報に登録された「保存済みカード」を使って決済が行われるため、カード会社側の判定では「いつも通りログインした本人の取引」と見なされやすく、3Dセキュアのチェックを追加認証なし（フリクションレス）で通過してしまう可能性が高まります。決済という「点」だけを見ていては、こうしたなりすましを防ぐことは極めて困難です。

ガイドライン最新版の本質―「線」で守る多層防御の推進へ

2026年3月に公表されたクレジットカード・セキュリティガイドライン 6.1版は、前述のような「認証の脆弱性」を補完するために、単一の対策に依存しない「多層防御（マルチレイヤー・ディフェンス）」の概念を一段上のレベルへと引き上げました。新たに追加された附属 付属文書には、高度化した攻撃に対し、3Dセキュアをはじめ複数の対策で不正利用の抑制に成功した実際の事業者の事例が紹介されています。

1. 決済の「手前」で行う「属性行動分析」

クレジットカード・セキュリティガイドライン 6.1版におけるポイントの一つは、決済が実行される前の段階での「属性行動分析（不正検知サービス）」の活用です。

3Dセキュアが「そのカードは本人のものか」を確認する手段であるのに対し、属性行動分析は「この取引そのものが怪しくないか」を、膨大なデータポイントから多角的に判定します。

一例として、以下のような「振る舞い」を不正検知システムごとのロジックで判定します。

• デバイスフィンガープリント：過去に他サイトで不正を働いた端末と同一ではないか。
• ネットワーク情報：プロキシサーバーやVPNを経由した不自然なアクセスではないか。
• タイピング・スクロールの挙動：人間ではなく自動化されたBotによる操作ではないか。
• サイト内回遊経路：商品ページを一切見ずに高額商品だけをカートに入れていないか。

サイト訪問から決済完了に至る流れのなかでユーザーをどこまで正確に捉えられるかが、いま求められている防御の形です。

2. 不正検知システムと3Dセキュアの「ハイブリッド運用」

ここで重要なのは、不正検知サービスと3Dセキュアは「どちらか一方で良い」という二者択一ではないということです。不正検知サービスと3Dセキュアを併用して、取引ごとにより正確な判断を行いその結果をカード発行会社（イシュアー）へ渡すハイブリッド運用も推奨されています。

併用した場合の運用例として、属性行動分析を行いその結果に応じて3Dセキュア認証を行う、というものがあります。属性行動分析によってカード会員本人による取引と判断された取引はそのままスムーズに決済（オーソリ）まで完了します。属性行動分析でグレーと判断されれば3Dセキュアに進み、リスクベース認証で判定、そこで「高リスク」であれば決済自体を中止します。

このように、複数の段階で最適なハードルを設けることで、「安全性の確保」と「離脱防止」を両立させることが可能になります。

安心・安全な決済環境のパートナーとして決済代行会社（PSP）が必要な理由

クレジットカード・セキュリティガイドライン 6.1版が示している対応は、ツールを導入して設定を終えれば完了、という性質のものではありません。むしろ、導入後の「運用」こそが勝負の分かれ目となります。

1. システムの「チューニング」が売上を左右する

不正検知システムを導入したものの、「不正は止まったが、同時に売上が減った」という失敗事例も聞こえています。これは不正検知システムの判定基準が「固すぎる（過検知）」ために起こる場合もあるのです。逆に「緩すぎる」と、今度はチャージバック（不正利用による売上の取り消し）が増加する要因にもつながります。 自社のECサイトの商材・客層・セール等のイベント時期によって、最適な判定基準は刻一刻と変化します。この細かなチューニングを自社で手作業で行うのは、専門知識と膨大な時間を要します。 だからこそ、GMO-PGのような決済代行会社の知見が必要となります。私たちは数万社の決済データを保有しており、「どのような攻撃が行われているのか」というマクロな視点と、個別の加盟店様のデータから最適なアドバイスをご提供することも可能です。

2. 人的リソースの制約を突破する「体制面」の支援

クレジットカード・セキュリティガイドライン 6.1版の附属文書では、不正抑制に成功している企業の共通点として「適切な人的リソースの確保」と「継続的な見直し」が挙げられています。しかし、多くの加盟店様にとって、セキュリティ専任者を置くことは現実的に困難です。 そこで私たちは、セキュリティの外部組織として機能し得る様々なソリューションをご提案しています。組織・体制面の強化を外部と連携することで、加盟店様は「知恵と工夫（選択と集中）」に注力でき、人的リソースの不足を補いながら不正利用発生率やオーソリ承認率を改善させることが可能となります。単なる導入をゴールとせず、売上最大化という「高いモチベーション」を共有するパートナーとして伴走いたします。

3. カード発行会社（イシュアー）との対話

オーソリ承認率を改善するためには、カード発行会社（イシュアー）を理解することも不可欠です。 例えば、特定のカード会社がセキュリティ設定を一時的に強めている場合、加盟店側でいくら対策をしてもオーソリ承認率は上がりません。GMO-PGはPSPとしてカード会社とも密に連携しており、オーソリ承認率低下の原因が「加盟店側の設定」にあるのか「カード発行会社側の判定ロジック」にあるのかを切り分け、必要に応じてカード発行会社へ改善を働きかけるといった、コンサルティング領域でのご支援も行っています。

GMO-PG 財津 拓郎

明日から取り組むべき「ECセキュリティ・ロードマップ」

今回のクレジットカード・セキュリティガイドライン 6.1版改訂の目玉は、加盟店の皆様が自社の対策状況を客観的に把握できる『附属文書』の充実です。これらを活用し、単なる法令遵守から、自らリスクをコントロールする"自律的なセキュリティ体制"へ移行するチャンスです。まずは以下の3つのステップで自社のセキュリティ戦略を再点検していただくことを推奨します。

ステップ1：現状の「健康診断」を実施する

専門的なログ分析の前に、普段お使いのGoogle Analytics 4（GA4）やカート管理画面で、加盟店様自身が把握できる「今、何が起きているか」を可視化しましょう。

• 指標①：決済手段別の購入完了率（決済手段別CVR） クレジットカード決済を選んだユーザーの完了率は、他の決済手段（Pay系など）と比べて極端に低くなっていませんか？もし極端な差があるなら、決済のプロセスで「何らかの壁」が発生している証拠です。
• 指標②：最終確認画面からの離脱率 「注文を確定する」ボタンがある最終確認画面まで到達したのに、完了しなかったユーザーの割合です。ここでの離脱は、3Dセキュア認証での摩擦や、カード会社による拒絶を直接的に示唆しています。

これらの数値が芳しくないことは、単なるセキュリティの問題ではなく、重大な機会損失が起きていることを意味します。さらに踏み込んだ、3Dセキュアの認証成功率などの数値はPSP（決済代行会社）へお問い合わせいただき、自社サイトへ訪れたユーザーを解像度高く理解しましょう。

ステップ2：組織の「セキュリティ意識」をアップデートする

ステップ1で見えてきた「離脱」のデータを、EC担当者だけでなく社内のマーケティング担当者や経営層と共有してください。

現在では「セキュリティはコスト」という考え方ではECビジネスの大きな伸長は望めません。カゴ落ちを防ぎ、承認率を高めるセキュリティ対策は、立派な「CVR（コンバージョン率）改善施策」です。

経営層は、セキュリティをIT部門だけの問題とせず、売上を最大化するための経営戦略の一部として位置づける必要があります。

ステップ3：スケーラブルなセキュリティソリューションの選定

今後も攻撃に応じてクレジットカード・セキュリティガイドラインはアップデートされていくでしょう。一過性の対策ではなく、将来的な脅威の変化にも対応できる拡張性を持ったソリューションを選定し、信頼できるパートナーと共に中長期的な運用体制を築くことが、EC事業の持続可能性を担保します。

まとめ

クレジットカード・セキュリティガイドライン 6.1版は、EC事業者のビジネスを制限するための縛りではありません。むしろ、不透明なデジタル社会において、安心というブランドを顧客に提供し、競合他社と差別化するための強力な武器になります。

不正利用を未然に防ぎ、かつ善良な顧客にはスムーズなショッピング体験を提供する。この「攻めのセキュリティ」こそが、2026年以降のEC業界における勝利の方程式です。

GMO-PGは、単なる決済手段の提供者ではありません。EC事業者のビジネスが、セキュリティの不安から解放され、成長に集中できる環境をつくるパートナーでありたいと考えています。

もし、貴社の「現在地」に少しでも不安を感じられたなら、いつでもGMO-PGにご相談ください。データをもとに、現状の整理や改善に向けたご相談を承ります。

本記事の詳細や、具体的な不正検知ツールの選定・導入支援については、下記よりお気軽にお問い合わせください。

クレジットカード・セキュリティガイドライン 6.1版はこちらから　※JCAのサイトに遷移します。