クレジットカード・セキュリティガイドライン【4.0版】の改定ポイントとは｜3Dセキュアは導入必須？4方策を解説

2023年7月3日 16:53

通販・EC事業者さまや、クレジットカード取引にかかわる事業者さまの中には、

「3Dセキュアは導入必須なのか？」
「クレジットカード・セキュリティガイドラインって何？」

などの疑問を抱えている方も数多くいらっしゃると思います。本記事では、クレジットカード・セキュリティガイドラインおよび、クレジットカード取引にかかわる事業者が実施するべきセキュリティ対策について解説します。

クレジットカード・セキュリティガイドラインとは

「クレジットカード・セキュリティガイドライン」とは、安全・安心なクレジットカード利用環境を整備するため、クレジットカード取引に関わるカード会社、加盟店、決済代行業者等の関係事業者が実施するべきクレジットカード情報漏えい及び不正利用の防止のためのセキュリティ対策の取組を取りまとめたものです。

引用：経済産業省

要するに、クレジットカード・セキュリティガイドラインは、クレジットカード決済を導入する事業者および関連業者が、取り組むべきセキュリティ対策をまとめたものです。

クレジットカード・セキュリティガイドライン策定の背景

クレジットカード・セキュリティガイドライン策定の背景には、クレジットカードの普及および、不正利用被害の増加があげられます。近年、クレジットカードは世界中で利用される支払い手段となっていますが、盗難や情報漏えいによる不正利用も増加しています。

日本クレジット協会が毎年発表している「クレジットカード不正利用被害の発生状況」によると、2022年度の日本国内のクレジットカード不正利用被害額は436.7億円と、過去最大の被害額となりました。こうした状況をふまえて、クレジットカード業界は、セキュリティ基準を確立することが求められています。

クレジットカード・セキュリティガイドライン【4.0版】の改定ポイントとは？

クレジットカード・セキュリティガイドライン【4.0版】の改定ポイントは3つです。

1）2025年3月までに、全てのEC 加盟店における EMV 3-Dセキュア導入
2）EC加盟店は、基本的な不正利用対策に取り組む
3）消費者及び事業者等への周知・啓発

▼改定ポイント1）2025年3月までに、全てのEC 加盟店における EMV 3-Dセキュア導入

クレジットカード・セキュリティガイドライン【4.0版】では、原則、全ての EC 加盟店に EMV 3-Dセキュア（3Dセキュア2.0）の導入が求められています。※2025年3月末までに

EMV 3-Dセキュアとは、クレジットカード会社が提供する、クレジットカードの本人認証サービスを指しています。EMV 3-Dセキュアはリスクベース認証を採用しています。リスクベース認証とは、不正利用の疑いがあると判断された場合にのみ追加認証が求められます。

▼改定ポイント2）EC加盟店は、基本的な不正利用対策に取り組む

・EC加盟店
全てのEC加盟店は、新規加盟店契約の申込み前に自らセキュリティ対策を実施し、契約申込みの際にアクワイアラー又はPSPにその実施状況を申告し、アクワイアラーと加盟店契約を締結することが求められる。

・アクワイアラー及びPSP
EC加盟店に対して、新規の加盟店契約に際し、EC加盟店自らセキュリティ対策を実施した上で、その実施状況をアクワイアラーに申告することを求めるとともに、申告内容を基にEC加盟店のセキュリティ対策の実施状況を確認することとする。

引用：クレジット取引セキュリティ対策協議会「クレジットカード・セキュリティガイドライン【4.0版】」

ECサイトやオンラインショップを運営するうえで、セキュリティ対策は必須です。サイバー攻撃や不正アクセス被害に遭ってしまうと、顧客の情報漏えいに繋がります。

▼改定ポイント3）消費者及び事業者等への周知・啓発

クレジットカード・セキュリティガイドライン【4.0版】では、消費者が
EMV3-Dセキュアの登録、動的（ワンタイム）パスワード等の認証方法の登録・移行を促進するためのカード会員への周知、啓発を行うことに言及しています。

つまり、お客様に安全にクレジットカード決済をご利用いただくための環境づくりの一貫として、EMV3-Dセキュア（3Dセキュア2.0）を周知・啓蒙していきましょうね、という内容です。

EC加盟店（お店）は、具体的になにをすべき？4つの方策とは？

ここまで改定ポイントを解説しました。
では、EC加盟店（お店）は具体的になにをすべきかを解説していきます。

クレジットカード・セキュリティガイドライン【4.0版】では、4つの方策が提言されています。

▼方策1）本人認証

a. EMV 3-Dセキュア
上記で述べた、国際ブランドが推奨する本人認証サービスです。
※国際ブランド＝VISA、Mastercard、JCBなど
b. 認証アシスト
クレジットカード決済代行会社のオリジナル認証サービスです。

▼方策2）券面認証（セキュリティコード）

カード券面に印字されている「セキュリティコード」（数字3～4桁）による認証です。クレジットカードに記載された3桁または4桁のセキュリティコードが正しく入力されているか確認します。

▼方策3）属性・行動分析（不正検知システム）

非対面取引でのカード利用時に、利用者の入力情報（氏名、クレジットカード番号、メールアドレス等）、利用者の利用端末（PC・モバイル等）情報であるデバイス情報、IP アドレス、過去の取引情報、取引頻度等収集した情報の分析に基づいて、取引のリスク評価（スコアリング等）を行い、不正な利用であるか加盟店側で判定する手法である。なお、日本クレジット協会のインフラ整備部会からの報告でも、本方策によりEC加盟店の不正検知精度の向上が確認されている。

引用：クレジット取引セキュリティ対策協議会「クレジットカード・セキュリティガイドライン【4.0版】」

不正検知サービスやセキュリティサービスを導入することで、不正検知精度の向上が確認されています。不正検知サービスは、下記の情報をもとに、取引をスコアリングすることができます。
・入力情報（氏名、クレジットカード番号、メールアドレス等）
・利用端末（PC・モバイル等）のデバイス情報
・IP アドレス
・過去の取引情報
・取引頻度　ほか

▼方策4）配送先情報

いわゆるブラックリストとの情報照会です。
過去に発生した不正注文の配送先情報と照合して、一致した場合は、キャンセルする方法です。商品の発送を中止することで、被害を最小限に抑えられます。

ブラックリストデータについては、まずは自社で蓄積しましょう。また、外部の事業者が提供する不正検知サービスを導入することも有効です。
外部のサービス例）
・不正検知サービス
・カード会社複数社が共同で運用しているサービス
・システムベンダーが提供するサービス　など

備考）
・高リスク商材取扱加盟店
上記の4方策のうち、１方策以上の導入が必要です。
※高リスク商材取扱加盟店とは、①デジタルコンテンツ（オンラインゲームを含む）、②家電、③電子マネー、④チケット、⑤宿泊予約サービスを主な商材として扱う加盟店を指します。

・不正顕在化加盟店
上記の４方策のうち、２方策以上の導入が必要です。
※不正顕在化加盟店とは、継続して未払いトラブル等が発生している加盟店を指します。カード会社（アクワイアラー）各社が把握する不正利用金額が「3ヵ月連続50万円超」に該当する加盟店とされています。

まとめ

クレジットカード・セキュリティガイドライン【4.0版】では、
・原則すべてのEC加盟店にEMV-3Dセキュアの導入を求める。
・新規加盟店契約の申込み前にセキュリティ対策の実施状況を報告するよう定める。
としています。

EMV-3Dセキュア（3Dセキュア2.0）は、チャージバック対策にも有効です。チャージバック被害が減ると、売上減少機会も減るため、結果的に売上が向上するケースが数多く存在します。
またEMV-3Dセキュア以外のセキュリティ対策では、不正検知サービスが有効手段のひとつです。
イーディフェンダーズでは、”怪しい注文を見抜いて未然に防ぐ” 不正検知サービスやノウハウがあります。いっしょにセキュリティ課題を解決しませんか？ぜひお気軽にお問い合わせください。

↓ 下記の画像をクリックいただくと、イーディフェンダーズの公式サイトよりお申し込みいただけます。