【ポイント解説】クレジットカード・セキュリティガイドライン【6.0版】 | PCI DSS Ready Cloud

2025.05.01

#PCI DSS
#カード情報非保持化対策
#クレジットカード・セキュリティガイドライン
#セキュリティ対策

【ポイント解説】クレジットカード・セキュリティガイドライン【6.0版】

  • BLOGトップ
  • 【ポイント解説】クレジットカード・セキュリティガイドライン【6.0版】
  • シェア
  • このエントリーをはてなブックマークに追加

1. ガイドラインの目的と背景

本ガイドラインは、クレジットカード取引の安全性を確保するため、割賦販売法に基づくカード情報の保護や不正利用防止の義務を具体化します。EC取引の急増や新たな不正手口(例:フィッシング、クレジットマスターアタック)に対応し、事業者にセキュリティ対策を提示。6.0版では、EC加盟店の脆弱性対策と不正ログイン対策を新たに規定し、カード会員の利便性と安全性の両立を目指します。


2. 主要な改訂内容

(1) EC加盟店のセキュリティ対策の強化

  • 脆弱性対策の必須化
    EC加盟店は、カード情報漏洩防止のため、以下の5つの対策を実施する必要があります:

    1. 管理画面のアクセス制限:ID/パスワードの適切な管理や多要素認証を導入し、不正アクセスを防止。
    2. データディレクトリの設定:機密情報が公開されないよう、ディレクトリ設定の点検や不要データの削除。
    3. ウイルス対策:マルウェア対策ソフトの導入と定期的なスキャン。
    4. Webアプリの脆弱性対策:ウェブアプリケーションのセキュリティ強化(例:SQLインジェクション対策)。
    5. 有効性確認・クレジットマスター対策:不正なカード番号入力防止(例:連続試行の制限)。

    これらの対策は、ECサイトの脆弱性を悪用した不正アクセスを防ぎ、カード情報の安全性を確保します。

  • 申告と確認プロセス
    新規契約時、EC加盟店はセキュリティ対策の実施状況を申告書に記載し、アクワイアラーや決済代行事業者(PSP)に提出。アクワイアラーやPSPはこれを確認し、対策の適切性を評価。既存加盟店も、契約更新時や必要に応じて同様の確認が行われます。

(2) EMV 3-Dセキュアの原則必須化

  • 導入時期:2025年4月以降、すべてのEC加盟店でEMV 3-Dセキュア(3Dセキュア2.0)の導入が原則必須。
  • 認証方式の高度化:イシュアーは、静的パスワードから動的パスワード(例:ワンタイムパスワード)や生体認証への移行を推進。リスクベース認証の活用を推奨し、不正取引の検知精度を向上。
  • メリット:カード会員の本人認証を強化し、不正利用を抑制。真正な取引を円滑に処理し、利便性を維持。
  • イシュアーの役割:カード会員に対し、EMV 3-Dセキュアの登録や認証方式変更の周知を推進。

(3) 不正ログイン対策の導入

  • 対象場面:ECサイトの「会員登録」「会員ログイン」「属性情報変更」の場面で、不正ログイン対策が必須。

  • 具体策:以下の8つの対策から少なくとも1つを導入:

    1. 強固なパスワードポリシーの設定(例:長さや複雑さの要件)。
    2. 多要素認証の導入(例:パスワード+SMS認証)。
    3. 不正ログイン検知システム(例:異常なログイン試行の監視)。
    4. CAPTCHAやリバースチューリングテストの活用。
    5. IPアドレスやデバイス情報の監視。
    6. ログイン試行回数の制限。
    7. アカウントロック機能の導入。
    8. 不正ログインのモニタリングと通知。

    これにより、カード決済前のアカウント乗っ取りやなりすましを防止。

(4) 旧版からの主な変更

  • 「4方策」の廃止:5.0版で規定されていた「4方策(非保持化、PCI DSS準拠、3Dセキュア、トークナイゼーション)のいずれか1つ」の要件が廃止。代わりに、脆弱性対策(5項目)と不正ログイン対策(8項目から1つ以上)が明文化され、EC加盟店のセキュリティ強化が具体化。
  • 対面取引の強化:対面加盟店では、ICカード取引の普及を促進。サイン取得による本人確認やPINバイパスの廃止を推進。

3. 消費者と事業者への周知・啓発

  • イシュアーの啓発活動:カード会員に対し、EMV 3-Dセキュアの登録や動的パスワードの利用を促進。利用明細の確認や不正取引の早期報告の重要性を周知。
  • 加盟店の役割:EC加盟店は、セキュリティ対策の実施状況を透明化し、消費者信頼を確保。脆弱性対策や不正ログイン対策の導入状況を明確に伝える。
  • 啓発資料の活用:日本クレジット協会提供の啓発動画(例:「クレカ晒されてるよ」シリーズ)やリーフレットを活用し、フィッシング詐欺や不正利用防止の知識を普及。

4. 法的背景と適用範囲

  • 割賦販売法との関係:ガイドラインは、割賦販売法が求めるカード情報の適切な管理や不正利用防止の義務を具体化。遵守により法令対応が確保される。
  • 対象事業者:クレジットカード会社、加盟店、アクワイアラー、PSPなど、クレジット取引に関わる全事業者。特にEC加盟店への要求が厳格化。
  • 適用開始:2025年4月以降、ガイドラインの対策は原則必須。

5. その他のポイント

  • 不正利用の動向:EC取引での不正利用(例:フィッシング、クレジットマスターアタック)が急増。ガイドラインはこれに対応し、事業者に迅速な対策を要求。
  • 事業者間の連携:アクワイアラーやPSPは、加盟店のセキュリティ対策を支援(例:診断ツールの提供)。イシュアーは、カード会員への啓発を強化。
  • 継続的な改訂:新たな不正手口や技術進化に対応し、ガイドラインは定期的に見直される。

6. まとめ

クレジットカード・セキュリティガイドライン【6.0版】は、EC加盟店の脆弱性対策(5項目)、2025年4月以降のEMV 3-Dセキュアの原則必須化、不正ログイン対策(8項目から1つ以上)を柱に、クレジット取引の安全性を強化。EC加盟店は対策実施状況をアクワイアラーやPSPに申告し、確認を受ける。イシュアーはカード会員への啓発を推進し、消費者保護を強化。事業者間の連携と消費者への周知を通じて、安全なキャッシュレス環境の構築を目指します。

出典クレジットカード・セキュリティガイドライン【6.0版】(日本クレジット協会、2025年3月)

この記事が気に入ったら
いいね!しよう

PCI DSS 関連の最新記事をお届けします

  • シェア
  • このエントリーをはてなブックマークに追加
一覧へ戻る