2024年4月16日8:20
一般社団法人日本クレジット協会(JCA)が事務局を務める「クレジット取引セキュリティ対策協議会」は、2024年3月14日に第11回本会議を開催し、「クレジットカード・セキュリティガイドライン【5.0 版】」を取りまとめた。ECなどの非対面取引(オンライン)における不正利用被害が依然として高い水準で推移しているため、オンラインショッピングの際にクレジットカードの不正使用を防止するセキュリティ機能であるEMV 3-Dセキュア(3-Dセキュア2.0)導入に向けた2025年3月末までの取り組みが注目点となっている。
クレジットカード不正利用被害額、
2023年は過去最悪の540億強に
JCAがクレジットカード発行会社を対象に集計したクレジットカード不正利用被害額は2022年通年が前年比32.3%増の436.7億円となり、過去最悪を更新した。同数字はクレジットカード会社からの申告数字であり、実際はさらに多い被害が出ているとの声もある。また、統計データに反映されていない海外発行カードの国内EC加盟店での不正も顕在化している。コロナ禍をきっかけに非対面取引が伸びたことに伴い番号盗用の被害が拡大している。
こうした事態を受けて、クレジット取引セキュリティ対策協議会は1年前の2023年3月、クレジットカード情報の窃取及び不正利用を防止するために、EC加盟店におけるカード情報保護対策及び非対面取引における不正利用防止対策のための取り組みを盛り込んだ「クレジットカード・セキュリティガイドライン【4.0版】」を策定し、全加盟店に対し2025年3月末までに本人認証サービスであるEMV 3-Dセキュアの導入を求めた。
しかし、2023年もクレジットカード不正利用の被害の増加は止まらず、年間の不正利用被害額は540.9億円(前年比23.9%の増加)、不正利用被害額に占める偽造被害額は3.1億円(同82.4%の増加)、番号盗用被害額は504.7億円(同22.6%の増加)、その他不正利用被害額は33.1億円(同42.1%の増加)となった。2023年は2022年に比べ、100億円以上の被害額が増えた。この数字に政府や業界関係者は危機感を抱いている。
クレジットカード不正利用被害の発生状況(単位:億円、%)(出典:日本クレジット協会)
EMV 3-Dセキュア導入に向けた
2025年3月末までの導入計画を
その中で策定された「ガイドライン【5.0版】」は、クレジットカード情報保護対策として、2025年4月以降、全てのEC加盟店に対し、「セキュリティ・チェックリスト」記載の脆弱性対策等のセキュリティ対策を実施することを求めている。また、アクワイアラー・PSP(ペイメント・サービス・プロバイダ)は、EC加盟店に対して「セキュリティ・チェックリのスト」に記載されているセキュリティ対策を実施する必要性を周知するとした。
そして、不正利用対策として、原則全てのEC加盟店における、EMV 3-Dセキュア導入に向けた2025年3月末までの取り組みを記載した。EC加盟店は、EMV 3-Dセキュアの導入計画を策定し、早期の導入に着手する。不正利用が多発している加盟店は、EMV 3-Dセキュアの即時導入に着手することを求めている。
アクワイアラー・PSPは、不正利用が多発している加盟店のEMV 3-Dセキュアの即時導入着手など、不正利用発生リスクに応じた2025年3月末までのEMV 3-Dセキュアの導入計画の策定及び導入を働きかける。EC加盟店と新規に加盟店契約する際は、2025年3月末までにEMV 3-Dセキュアを導入することを説明した上で契約するとした。
加盟店のEMV 3-Dセキュアの導入推進ロードマップ(出典:クレジット取引セキュリティ対策協議会 EMV 3-Dセキュア等推進WGによる加盟店におけるEMV 3-Dセキュアの導入推進ロードマップ)
イシュア(カード発行会社)は、自社カード会員に対してEMV 3-Dセキュアの登録を強く推進するための取り組みを行い、2025年3月末時点においてEC利用会員ベースで80%のEMV 3-Dセキュア登録を目指す。2025年3月末時点で、EMV 3-Dセキュア登録会員ベースで100%の「静的(固定)パスワード」以外の認証方法への移行を目指すとしている。
イシュア(カード発行会社)として取り組むべき事項とスケジュール (出典:クレジット取引セキュリティ対策協議会 EMV 3-Dセキュア等推進WGによるイシュアーにおけるEMV 3-Dセキュア推進ロードマップ)
さらに、原則、すべてのEC 加盟店は2025年3月末までにEMV 3-Dセキュアの導入を 計画的に進める。
自らが適切な対策を講じることを
目的にガイドライン改定
