お役立ち資料ダウンロード
近年、クレジットカードの不正利用被害が増加しており、EC事業者さまや決済代行事業者では、セキュリティ対策の重要性が高まっています。一般社団法人日本クレジット協会がまとめた「クレジットカード・セキュリティガイドライン」は、安全・安心なクレジットカード利用環境の整備を目的とした、不正利用防止のセキュリティ対策の指針です。
2025年3月、クレジットカード・セキュリティガイドラインが【6.0版】に改訂され、EC事業者さまが実施するべきセキュリティ対策に追加・変更が発生しました。
そこで本記事では、クレジットカード・セキュリティガイドラインの概要や、2025年4月以降の不正利用対策、EC事業者さまに求められるセキュリティ対策などについて解説します。
クレジットカード決済を提供するEC事業者さまにとって重要な内容となるため、ぜひ最後までご覧ください。
目次
クレジットカード・セキュリティガイドラインとは?
クレジットカード・セキュリティガイドラインとは、一般社団法人日本クレジット協会が策定した、クレジットカード情報の漏えいや不正利用を防ぐためのセキュリティ対策の指針です。クレジットカード会社、加盟店、決済代行事業者などは、これに基づいて適切なセキュリティ対策を実施することが求められます。
ECサイトを運営する事業者さまにとって、クレジットカード決済の安全性を確保することは、信頼維持のためにも不可欠です。そのため、クレジットカード・セキュリティガイドラインの内容を正しく理解し、適切な対策を講じることは、事業運営をする上で重要な取り組みといえるでしょう。
クレジットカード・セキュリティガイドラインが策定されている背景
クレジットカード・セキュリティガイドラインが策定されている背景には、近年のクレジットカード不正利用の増加があります。特に、ECサイトにおける不正利用が深刻化しており、2024年の不正利用被害額は555億円となり、過去最高を記録しました。
■ECサイトにおけるクレジットカードの不正利用被害額の推移
出典:一般社団法人日本クレジット協会「クレジットカード不正利用被害額の発生状況」(2025年3月発表)
※不正利用被害額は、国内発行クレジットカードでの不正利用分で、カード会社が把握している分を集計(海外カード分は含まれない)
※2013年調査までは「その他の不正利用被害額」に「番号盗用被害額」を含む
ECサイトにおけるクレジットカードの不正利用は、多岐にわたる手法で引き起こされ、ECサイトや決済代行事業者などへのサイバー攻撃やフィッシング詐欺による利用者さまからの窃取も少なくありません。
ECサイトを運営する事業者さまが適切なセキュリティ対策を実施しなければ、カード情報の漏えいリスクが高まり、利用者さまの信用を失うリスクがあります。クレジットカード利用をめぐるこうした問題から、EC事業者さまが守るべきルールを明確にするためにクレジットカード・セキュリティガイドラインが策定され、被害拡大の防止が図られているのです。
クレジットカードの不正利用については、以下の記事で詳しく説明しております。
クレジットカードの不正利用とは?よくある手口と対策を解説
【5.0版】までのECサイトにおけるクレジットカードの不正利用対策
続いては、クレジットカード・セキュリティガイドライン【5.0版】までの、ECサイトにおけるクレジットカードの不正利用対策について解説します。
ECサイトにおける従来のクレジットカードの不正利用対策は、以前から以下のような対策が重視されていました。
<従来のガイドラインで重要視されていた不正利用対策の具体的な4方策>
- ・本人認証:認証システムによりクレジットカードの利用者が本人であることを確認(EMV 3-Dセキュアの導入)
- ・券面認証:クレジットカードに記載されたセキュリティコードを入力してもらい、不正利用を防止
- ・属性・行動分析:クレジットカード利用者の行動履歴や属性から不正利用の可能性を判定
- ・配送先情報:不正配送先情報の蓄積によって、商品などの配送を事前に停止
従来は、これらの対策をより多く導入する「数」の考え方により、不正利用を防止していました。しかし、近年の不正利用は、単純なクレジットカード情報の盗難だけでなく、「カード決済前」「カード決済時」「カード決済後」といったカード決済の流れのなかで巧妙に行われるケースが少なくありません。
具体的には、以下のような3つのタイミングで不正が発生しています。
■クレジットカードの不正利用が行われるタイミング
| 不正利用が行われるタイミング | 不正利用の主な内容 |
|---|---|
| カード決済前 | 脆弱性対策の不備によるカード情報などの窃取、クレジットマスター(クレジットカード番号の規則性を悪用して番号を割り出す手口)、フィッシングメールなどにより、クレジットカード情報が不正取得される |
| カード決済時 | 不正取得されたクレジットカード情報や属性情報を利用して「なりすまし」「スマートフォンアプリの登録など」が行われ、換金性の高い商品が不正購入される |
| カード決済後 | 不正購入された商品が、不正利用者が受け取りやすい場所・転送会社に配送され、国内外のECサイトなどで転売されるなどして現金化される |
このような現状を受け、今後は、カード決済の流れを意識した、「線」の考え方にもとづく不正利用対策が必要になると考えられています。
■不正利用対策における線の考え方(クレジットカード・セキュリティガイドライン【6.0版】)
出典:クレジット取引セキュリティ対策協議会「クレジットカード・セキュリティガイドライン【6.0 版】」(2025年3月)
【6.0版】に準拠する上で必要な今後の不正利用対策
2025年4月以降は、従来のセキュリティ対策基準を踏襲しつつ、【6.0版】で追加された対策についても対応が必須となります。
| セキュリティ対策基準 | ||
|---|---|---|
| 対策区分 | 現在の対策基準 | 2025年4月以降 |
| カード情報保護対策 | カード情報を保持しない非保持化、又はカード情報を保持する場合はPCI DSSに準拠 | 継続 |
| - | (追加)EC加盟店のシステム及びWebサイトの「脆弱性対策」の実施 | |
| 不正利用防止対策 | オーソリゼーション処理の体制整備 | 継続 |
| 加盟店契約上の善良なる管理者の注意義務の履行 | 継続 | |
| 高リスク加盟店の場合4方策のうち1方策以上の導入 | 削除 | |
| - | (追加)EMV 3-Dセキュアの導入 | |
| - | (追加)適切な不正ログイン対策の実施 | |
| - | (追加)類似の不正利用の発生を防止するために、不正利用の発生状況等に応じて、不正利用対策から適切な対策の追加導入(不正顕在化加盟店) | |
出典:一般社団法人日本クレジット協会「クレジットカード・セキュリティガイドライン【6.0版】改訂ポイント」(2025年3月)
【6.0版】への改訂では、「EC加盟店のシステムおよびWebサイトの『脆弱性対策』の実施」「EMV 3-Dセキュアの導入」「適切な不正ログイン対策の実施」が追加されました。また、【5.0版】の「4方策のうち1方策以上の導入」が削除されました。
追加された3つの不正利用対策について、詳しく見ていきましょう。
1. EC加盟店のシステムおよびWebサイトの「脆弱性対策」の実施
【6.0版】では、EC加盟店のシステムおよびWebサイトにおけるウイルス対策や管理者権限の管理、デバイス管理などの脆弱性に起因するクレジットカード情報漏えいを防止するために、複数の対策が必要です。
具体的には、以下の5つの脆弱性対策を実施します。
<【6.0版】で追加された脆弱性対策>
- ・システム管理画面のアクセス制限と管理者のID/パスワード管理
- ・データディレクトリの露見に伴う設定不備への対策
- ・Webアプリケーションの脆弱性対策
- ・マルウェア対策としてのウイルス対策ソフトの導入、運用
- ・悪質な有効性確認、クレジットマスターへの対策
クレジットマスターについては、以下の記事で詳しく説明しております。
急増するクレジットマスターアタックとは?事業者が受ける被害と対策について解説
2. EMV 3-Dセキュアの導入
EMV 3-Dセキュアの導入は、クレジットカード会社による本人確認が適切に行われるために必要な対策です。クレジットカード会員のデバイス情報などを悪用した「なりすまし」による不正利用のリスク判断を行うとともに、必要に応じて「動的(ワンタイム)パスワードの入力」などを要求することで、当該取引における安全性を確保します。
具体的には、EMV 3-Dセキュアを導入するだけでなく、EMV 3-Dセキュアによる認証を原則として、決済の都度、実施します。また、アカウントなどへのカード番号の登録時、EC加盟店にリスクがあると判断したときも、EMV 3-Dセキュアによる認証を実施することが認められます。
EMV 3-Dセキュアについては、以下の記事で詳しく説明しております。
【2025年4月以降原則必須】EMV 3-Dセキュア(3Dセキュア2.0)とは?メリットや決済手順を解説
3. 適切な不正ログイン対策の実施
適切な不正ログイン対策の実施は、「カード決済前」の各場面において行う必要があります。ECサイトへの不正ログインは、「会員登録」「会員ログイン」「属性情報変更」といった場面ごとで手口が異なります。各場面の不正ログインの内容は、主に以下のとおりです。
■ECサイトにおける不正ログインの手口・内容
| 不正が行われる場面 | 不正の手口 | 不正の内容 |
|---|---|---|
| 会員登録 | 不正アカウントの作成 | EC加盟店において窃取した属性情報・カード情報などを使用し、不正なアカウントを登録する |
| 会員ログイン・ 属性情報変更 |
アカウントの乗っ取り | 窃取した正規アカウントの登録情報を使用し、不正ログインを行う |
こうした不正ログインに対し、【6.0版】では具体的な下記の8つの対応が示されていますが、前述のとおり、カード決済前の「会員登録」「会員ログイン」「属性情報変更」の各場面を考慮した適切な対策を、1つ以上導入する必要があります。
■ECサイトの不正ログイン対策
| 対策項目 | 対策が有効な場面 (〇:有効対策) |
||
|---|---|---|---|
| 会員登録 | 会員ログイン | 属性情報変更 | |
| 1. 不審なIPアドレスからのアクセス制限 | 〇 | 〇 | 〇 |
| 2. 段階認証又は多要素認証(2要素認証)による本人確認 | ― | 〇 | 〇 |
| 3. 会員登録時の個人情報確認(氏名・住所・電話番号・メールアドレス等) | 〇 | 〇 | ― |
| 4. ログイン試行回数の制限設定(アカウント/パスワードクラッキングの対応)、スロットリング | ― | 〇 | ― |
| 5. 会員ログイン時/属性情報変更時のメールやSMS通知 | ― | 〇 | 〇 |
| 6. 属性・行動分析 | 〇 | 〇 | 〇 |
| 7. デバイスフィンガープリント | 〇 | 〇 | 〇 |
| 8. その他の対策(「EC加盟店におけるセキュリティ対策一覧_3.不正ログイン対策(決済前の対策)」記載の対策) | |||
クレジットカード・セキュリティガイドラインに対応しないリスク
EC事業者さまは、クレジットカード・セキュリティガイドラインにもとづき、必要な不正利用対策を導入する必要があります。クレジットカード・セキュリティガイドラインに対応しないと、以下のようなリスクが発生します。
クレジットカード会社から加盟店契約を解除される
クレジットカード・セキュリティガイドラインに対応しないと、クレジットカード会社(アクワイアラー)から加盟店としての契約を解除されるかもしれません。契約解除となると、ECサイトでのカード決済が利用できなくなり、売上に大きな影響を及ぼします。
新規加盟店契約の締結が困難になる
クレジットカード・セキュリティガイドラインへの対応を怠ると、他のクレジットカード会社(アクワイアラー)とも新たな加盟店契約の締結が難しくなる可能性もあります。
損失が発生する危険性がある
クレジットカード・セキュリティガイドラインに対応していないと、不正利用による被害やそれに起因するシステム改修などが必要になり、損失が発生する危険性があります。このような具体的な損失に加え、お客さまからの信頼の失墜、ECサイトのブランド力低下なども考慮すると、実際の損失の大きさは計り知れません。
このようなリスクを回避するためにも、クレジットカード・セキュリティガイドラインを順守し、適切なセキュリティ対策を講じることが不可欠です。
SBペイメントサービスなら、クレジットカード・セキュリティガイドラインへの対応をしっかりサポート
SBペイメントサービスでは、ECサイトのクレジットカード決済における不正利用対策を強化し、クレジットカード・セキュリティガイドライン【6.0版】への対応をしっかりとサポートしています。カード決済前・カード決済時のクレジットマスターへの対策となる不正検知サービス「AI不正検知」を提供しているほか、EMV 3-Dセキュアにも対応しています。そのほか、クレジットカード決済の流れにおいて懸念されるさまざまなリスクにも、提携パートナーのサービスを提供可能です。
クレジットカード・セキュリティガイドラインに対応し、ECサイトにおける不正利用を防止したいEC事業者さまは、ぜひSBペイメントサービスにご相談ください。
AI不正検知
あなたのWebサイトを守る不正対策
決済データを使って手軽に導入
よくあるご質問
- Q.
- クレジットカード・セキュリティガイドラインとは?
- A.
- クレジットカード・セキュリティガイドラインとは、クレジットカード情報の漏えいや不正利用を防ぐために、一般社団法人日本クレジット協会が定めたガイドラインです。クレジットカード加盟店や決済代行事業者に対し、適切なセキュリティ対策の実施を求めています。
- Q.
- クレジットカード・セキュリティガイドラインの2025年の改定内容は?
- A.
- 2025年の改定では、「カード決済前」「カード決済時」「カード決済後」の流れを考慮した「線」の考え方にもとづき、不正利用対策が強化されます。なかでも、「EC加盟店のシステムおよびWebサイトの『脆弱性対策』の実施」「EMV 3-Dセキュアの導入」「適切な不正ログイン対策の実施」の3つの対策 が重要です。
その他のご不明点はFAQ よくあるご質問をご確認ください。
