経済産業省は3月15日、「クレジットカード・セキュリティガイドライン」の改訂について発表した。
「クレジットカード・セキュリティガイドライン」は、安全・安心なクレジットカード利用環境を整備するために、クレジットカード会社、加盟店、Payment Service Provider(PSP) 等のクレジットカード決済に関係する事業者が実施すべきカード情報の漏えいと不正利用防止のためのセキュリティ対策の取組を取りまとめたもので、割賦販売法に規定するセキュリティ対策義務の「実務上の指針」として位置づけられている。
主な改訂内容は下記の通り。
(1) クレジットカード情報保護対策
・2025年4月以降、全てのEC加盟店は「セキュリティ・チェックリスト」記載の脆弱性対策等のセキュリティ対策を実施することを求める。
・アクワイアラー・PSPは、EC加盟店に対して「セキュリティ・チェックリスト」に記載されているセキュリティ対策を実施する必要性を周知する。
(2) 不正利用対策
・原則全てのEC加盟店における2025年3月末までのEMV 3-Dセキュア導入に向けて、EC加盟店、アクワイラー・PSP、イシュアーそれぞれの取組を記載
EC加盟店
・EC加盟店はEMV 3-Dセキュアの導入計画を策定し、早期の導入に着手する。
・不正利用が多発している加盟店は、EMV 3-Dセキュアの即時導入に着手する。アクワイアラー・PSP
・不正利用が多発している加盟店のEMV 3-Dセキュアの即時導入着手など、不正利用発生リスクに応じた2025年3月末までのEMV 3-Dセキュアの導入計画の策定及び導入を働きかける。
・EC加盟店と新規に加盟店契約する際は、2025年3月末までにEMV 3-Dセキュアを導入することを説明した上で契約する。イシュアー
・自社カード会員に対しEMV 3-Dセキュアの登録を強く推進するための取組を行い、2025年3月末時点においてEC利用会員ベースで80%のEMV 3-Dセキュア登録を目指す。
・2025年3月末時点でEMV 3-Dセキュア登録会員ベースで100%の「静的(固定)パスワード」以外の認証方法への移行を目指す。
