クレジットカード・セキュリティガイドライン【4.0版】が改訂されました

１．「クレジットカード・セキュリティガイドライン」について

「クレジットカード・セキュリティガイドライン」とは、安全・安心なクレジットカード利用環境を整備するため、クレジットカード取引に関わるカード会社、加盟店、決済代行業者等の関係事業者が実施するべきクレジットカード情報漏えい及び不正利用の防止のためのセキュリティ対策の取組を取りまとめたものです。

また、同ガイドラインは、割賦販売法に規定するセキュリティ対策義務の「実務上の指針」として位置づけられており、同ガイドラインに「指針対策」として掲げられている措置又はそれと同等以上の措置を適切に講じている場合には、同法で定めるセキュリティ対策の基準を満たしていると認められます。

２．主な改訂内容

（１）クレジットカード情報保護対策

EC加盟店による非保持又はPCI DSS※1 準拠に加えて、以下の対策を実施。　

• EC加盟店は、新規の加盟店契約の申込前に自らECサイトにセキュリティ対策を実施し、契約申込みの際にアクワイアラー※2又はPSP ※3に脆弱性対策等のセキュリティ対策の実施状況を記載した申告書を提出する。（試行）

• アクワイアラー及びPSPは、EC加盟店に対して、新規の加盟店契約の申込みに際してEC加盟店自らのセキュリティ対策の実施とその申告を求めるとともに、申告内容をもとにセキュリティ対策の実施状況を確認する。（試行）

（２）不正利用対策

• 原則、全てのEC加盟店は、2025年3月末までにEMV3-Dセキュアの導入を求める。
• イシュアー※4は、EMV 3-Dセキュアの本人認証方法として「静的（固定）パスワード」から「動的（ワンタイム）パスワード」等の認証方法への移行環境を整え、2025年3月末までに自社カード会員が「動的（ワンタイム）パスワード」等の認証方法へ登録・移行するよう取組む。

• アクワイアラー及びPSPは、2025年3月末までに、原則、全てのEC加盟店がEMV3-Dセキュアの導入を計画的に進められるようサポートを行う。また、「不正顕在化加盟店」※5に対して早期にEMV 3-Dセキュアを導入するよう働きかける。　

（３）消費者及び事業者等への周知・啓発

• イシュアーは、カード会員によるEMV3-Dセキュアの登録、「動的（ワンタイム）パスワード」等の認証方法の登録・移行を促進するためのカード会員への周知、啓発を行う。
• イシュアーは、カード会員に対して、不正利用被害の防止のために、利用明細の確認、身に覚えのない取引があった場合のイシュアーへの連絡等の重要性についての周知、啓発活動に取組む。
• イシュアーは、カード会員のフィッシングによる不正利用被害の防止のために、フィッシングの手口や不審と思われるサイトには、カード情報等の入力は行わないなどの注意事項等の周知、啓発活動に取組む。
• アクワイアラー又はPSPは、EC加盟店に対して、2025年3月末までに原則、全てのEC加盟店においてEMV3-Dセキュアの導入が求められる旨、周知する。

関連資料

• クレジットカード・セキュリティガイドライン［4.0版］（公表版）
• クレジットカード・セキュリティガイドライン［4.0版］（改訂ポイント）

関連リンク

• 安全・安心なクレジットカード取引への取組

担当

• 本発表資料のお問合せ先

  商務・サービスグループ 商取引監督課長 刀禰
  担当者：松井、竹尾、小西
  電話：03-3501-1511（内線 4191）

  03-3501-2302（直通）

  メール：bzl-credit★meti.go.jp
  ※ [★]を[@]に置き換えてください。

• クレジットカード・セキュリティガイドラインのお問い合わせ先

  クレジット取引セキュリティ対策協議会事務局
  一般社団法人日本クレジット協会
  電話：03-5643-0011