1 はじめに

経済産業省は、2018年4月に「キャッシュレス・ビジョン」 1を策定し、キャッシュレス決済比率を2025年までに4割程度にするという目標を掲げた。2023年には、キャッシュレス決済比率は、39.3%まで上昇し 2、クレジットカードが、キャッシュレス決済の総利用額の83.5%と、最も上位を占める。

一方で、クレジットカードの不正利用被害は、従来から指摘されており、実際に、2023年のクレジットカードによる不正使用被害の総額は、540.9億円と 3、過去最高となった。クレジットカードの安全・安心な利用環境を確保するために、セキュリティ対策が不可欠である。

本稿では、クレジットカード番号等の保護対策の実務上の指針とされる「クレジットカード・セキュリティガイドライン」(以下「本ガイドライン」という。)の改訂版 4(以下「本ガイドライン【5.0版】」という。)が2024年3月15日に発表された 56ことから改訂のポイント等を紹介し、併せてクレジットカード・セキュリティ官民対策会議の設置についても触れる。

2 クレジットカード・セキュリティガイドラインについて

⑴ 割賦販売法におけるクレジット番号等の保護

割賦販売法(以下「法」という。)は、「クレジットカード番号等取扱業者」に対し、クレジットカード番号等の適切な管理のために必要な措置を講じなければならない(以下「番号等適切管理措置」という。)としている(法35条の16第1項)。「クレジットカード番号取扱業者」には、2021年の法改正により、QRコード事業者等が追加されるなど、2023年時点で7類型の事業者が、「クレジットカード番号取扱業者」として指定されている。

そして、割賦販売法上、番号等適切管理措置は「経済産業省令で定める基準」に従うものとされ、これを受けて、法施行規則132条において、具体的な基準が定められている。

本ガイドラインは、これらを踏まえてクレジットカード番号等取扱業者が実施すべきクレジットカード情報の漏えいおよび不正利用防止のためのセキュリティ対策を取りまとめている。番号等適切管理措置クレジットカード番号等取扱業者は、本ガイドラインに沿った措置、またはそれと同等以上の措置を講じることが求められる 7。

⑵ 改訂前の本ガイドラインの構成

改訂前においては、「クレジットカード情報保護対策分野」、「不正利用対策分野」、「消費者及び事業者等への周知・啓発分野」の3つの分野で章立てされており、それぞれの章で各事業者が講じるべき対策が記載されていた。

3 クレジットカード・セキュリティガイドライン【5.0版】の主な改訂ポイント

⑴

まず、構成面についてみると、本ガイドライン【5.0版】では、従前の3分野構成から、必要なセキュリティ対策を各事業者が自ら適切に講じられる内容とすることを目的に、「各事業者が講じる対策等」として、事業者別の構成に変更されている 8。

そのため、各事業者は、自らが該当する事業者の項目を参照することで、上記3つの分野それぞれで自らが講じるべき対策がわかるようになっており、閲覧性が改善されている。

次に、内容面についてみると、主に①クレジットカード情報保護対策および②不正利用対策について変更がなされている。主な変更点は、以下の通りである。

クレジットカード情報保護対策 不正利用対策 カード会社

(イシュアー) EMV 3-Dセキュア9の推進のため、2025年3月末までに以下を目指す ➣ EMV3-Dセキュアに必要なカード会員情報について、EC利用会員ベースで80%の登録率

➣「動的(ワンタイム)パスワード等」による認証方法へ、EMV3-Dセキュア登録会員ベースで100%の移行率 加盟店

(EC加盟店) EC加盟店は、新規加盟店契約申込前に「セキュリティ・チェックリスト」記載のぜい弱性対策等のセキュリティ対策を実施 ➣ 実施状況をアクワイアラー・PSPに申告

➣ 2025年4月以降新規のみならずすべてのEC加盟店が対象 EMV 3-Dセキュアの導入計画を策定し、早期の導入に着手 ➣ 不正利用が多発している加盟店は、EMV 3-Dセキュアの即時導入に着手 カード会社

(アクワイアラー) EC加盟店に対して「セキュリティ・チェックリスト」に記載されているセキュリティ対策を実施する必要性の周知 不正利用発生リスクに応じた2025年3月末までのEMV 3-Dセキュアの導入計画の策定および導入 ➣ 不正利用が多発している加盟店のEMV 3-Dセキュアの即時導入着手など 決済事業者

・PSP EC加盟店に対して「セキュリティ・チェックリスト」に記載されているセキュリティ対策を実施する必要性の周知 ➣ EC加盟店と新規に加盟店契約をする際は、2025年3月末までにEMV 3-Dセキュアを導入することを説明した上で契約 不正利用発生リスクに応じた2025年3月末までのEMV 3-Dセキュアの導入計画の策定および導入 Ø 不正利用が多発している加盟店のEMV 3-Dセキュアの即時導入着手など

出典:本ガイドライン【5.0版】の内容を基に作成

⑵ 今後の不正利用対策の考え方

上記の表の通り、2025年4月以降は、すべてのEC加盟店においてEMV 3-Dセキュアが導入されることになる。

もっとも、本ガイドライン【5.0版】は、より不正利用の抑止効果を高めるために、決済の場面を、決済前・決済時・決済後の3つに分け、それぞれの場面において不正利用対策を行うといった、以下のような線の考え方が重要だとしている。

出典:本ガイドライン【5.0版】58頁

4 クレジットカード・セキュリティ官民対策会議の設置 10

⑴ 背景

近年、特にEC決済におけるクレジットカードの不正利用額が急増している。そのため、上記の経産省の取組に加えEMV 3-Dセキュア等の不正利用対策を継続的・効果的に行う必要がある。

そこで、経産省は、クレジットカードの安心・安全な利用を官民一体で実現するために、2024年4月に、クレジットカード・セキュリティ官民対策会議を設置し、第1回が、2024年4月9日に開催された。

⑵ 活動内容等

官民対策会議では、今後、主に、クレジットカード番号の漏洩・不正利用被害状況や、事業者等によるセキュリティ対策の現状や課題が共有される。その上で、海外での、クレジットカード不正利用への取組等も参考にしつつ、今後、わが国でどのような対策を行っていくか、その方向性について意見交換を行うことなどが予定されている。

5 実務への示唆

キャッシュレス決済は今後もさらに普及していくことが考えられる。その中で、クレジットカード番号等取扱業者はキャッシュレス決済のうち、利用総額の大部分を占めるクレジットカードを扱っている。そのため、クレジットカード番号取扱業者は、クレジットカード利用者がクレジットカード安心・安全に利用できるように、適切な措置を講ずる必要があるといえる。その意味で、本ガイドラインはクレジットカード番号取扱業者にとって必須のものといえよう。

もっとも、本ガイドラインが、制定以来毎年改訂されているのも事実である。そのため、クレジットカード番号取扱業者は本ガイドラインの動向を注視し、内容を適切に理解する必要がある。

また、クレジットカードのセキュリティ対策に関して官民一体で取り組み、消費者および事業者へ、周知・啓発していくことが求められ、クレジットカードの安全・安心な利用を実現していくことが求められる。

以 上

