「クレジットカード・セキュリティガイドライン」の改訂および クレジットカード・セキュリティ官民対策会議の設置

１　はじめに

　経済産業省は、2018年4月に「キャッシュレス・ビジョン」 ¹を策定し、キャッシュレス決済比率を2025年までに4割程度にするという目標を掲げた。2023年には、キャッシュレス決済比率は、39.3%まで上昇し ²、クレジットカードが、キャッシュレス決済の総利用額の83.5%と、最も上位を占める。

　一方で、クレジットカードの不正利用被害は、従来から指摘されており、実際に、2023年のクレジットカードによる不正使用被害の総額は、540.9億円と ³、過去最高となった。クレジットカードの安全・安心な利用環境を確保するために、セキュリティ対策が不可欠である。

　本稿では、クレジットカード番号等の保護対策の実務上の指針とされる「クレジットカード・セキュリティガイドライン」（以下「本ガイドライン」という。）の改訂版 ⁴（以下「本ガイドライン【5.0版】」という。）が2024年3月15日に発表された ⁵⁶ことから改訂のポイント等を紹介し、併せてクレジットカード・セキュリティ官民対策会議の設置についても触れる。

２　クレジットカード・セキュリティガイドラインについて

⑴　割賦販売法におけるクレジット番号等の保護

　割賦販売法（以下「法」という。）は、「クレジットカード番号等取扱業者」に対し、クレジットカード番号等の適切な管理のために必要な措置を講じなければならない（以下「番号等適切管理措置」という。）としている（法35条の16第1項）。「クレジットカード番号取扱業者」には、2021年の法改正により、QRコード事業者等が追加されるなど、2023年時点で7類型の事業者が、「クレジットカード番号取扱業者」として指定されている。

　そして、割賦販売法上、番号等適切管理措置は「経済産業省令で定める基準」に従うものとされ、これを受けて、法施行規則132条において、具体的な基準が定められている。

　本ガイドラインは、これらを踏まえてクレジットカード番号等取扱業者が実施すべきクレジットカード情報の漏えいおよび不正利用防止のためのセキュリティ対策を取りまとめている。番号等適切管理措置クレジットカード番号等取扱業者は、本ガイドラインに沿った措置、またはそれと同等以上の措置を講じることが求められる ⁷。

⑵　改訂前の本ガイドラインの構成

　改訂前においては、「クレジットカード情報保護対策分野」、「不正利用対策分野」、「消費者及び事業者等への周知・啓発分野」の3つの分野で章立てされており、それぞれの章で各事業者が講じるべき対策が記載されていた。

３　クレジットカード・セキュリティガイドライン【5.0版】の主な改訂ポイント

⑴

　まず、構成面についてみると、本ガイドライン【5.0版】では、従前の3分野構成から、必要なセキュリティ対策を各事業者が自ら適切に講じられる内容とすることを目的に、「各事業者が講じる対策等」として、事業者別の構成に変更されている ⁸。

　そのため、各事業者は、自らが該当する事業者の項目を参照することで、上記3つの分野それぞれで自らが講じるべき対策がわかるようになっており、閲覧性が改善されている。

　次に、内容面についてみると、主に①クレジットカード情報保護対策および②不正利用対策について変更がなされている。主な変更点は、以下の通りである。

出典：本ガイドライン【5.0版】の内容を基に作成

⑵ 今後の不正利用対策の考え方

　上記の表の通り、2025年4月以降は、すべてのEC加盟店においてEMV 3-Dセキュアが導入されることになる。

　もっとも、本ガイドライン【5.0版】は、より不正利用の抑止効果を高めるために、決済の場面を、決済前・決済時・決済後の3つに分け、それぞれの場面において不正利用対策を行うといった、以下のような線の考え方が重要だとしている。

出典：本ガイドライン【5.0版】58頁

４　クレジットカード・セキュリティ官民対策会議の設置 ¹⁰

⑴　背景

　近年、特にEC決済におけるクレジットカードの不正利用額が急増している。そのため、上記の経産省の取組に加えEMV 3-Dセキュア等の不正利用対策を継続的・効果的に行う必要がある。

　そこで、経産省は、クレジットカードの安心・安全な利用を官民一体で実現するために、2024年4月に、クレジットカード・セキュリティ官民対策会議を設置し、第1回が、2024年4月9日に開催された。

⑵　活動内容等

　官民対策会議では、今後、主に、クレジットカード番号の漏洩・不正利用被害状況や、事業者等によるセキュリティ対策の現状や課題が共有される。その上で、海外での、クレジットカード不正利用への取組等も参考にしつつ、今後、わが国でどのような対策を行っていくか、その方向性について意見交換を行うことなどが予定されている。

５　実務への示唆

　キャッシュレス決済は今後もさらに普及していくことが考えられる。その中で、クレジットカード番号等取扱業者はキャッシュレス決済のうち、利用総額の大部分を占めるクレジットカードを扱っている。そのため、クレジットカード番号取扱業者は、クレジットカード利用者がクレジットカード安心・安全に利用できるように、適切な措置を講ずる必要があるといえる。その意味で、本ガイドラインはクレジットカード番号取扱業者にとって必須のものといえよう。

　もっとも、本ガイドラインが、制定以来毎年改訂されているのも事実である。そのため、クレジットカード番号取扱業者は本ガイドラインの動向を注視し、内容を適切に理解する必要がある。

　また、クレジットカードのセキュリティ対策に関して官民一体で取り組み、消費者および事業者へ、周知・啓発していくことが求められ、クレジットカードの安全・安心な利用を実現していくことが求められる。

以　上

Footnotes

1. 「「キャッシュレスの将来像に関する検討会」のとりまとめを行いました」（経済産業省、2023年3月20日）https://www.meti.go.jp/press/2022/03/20230320002/20230320002.html

2. 「2023年のキャッシュレス決済比率を算出しました」（経済産業省、2024年3月29日）https://www.meti.go.jp/press/2023/03/20240329006/20240329006.html

3. 「クレジットカード不正利用被害の発生状況」（一般社団法人日本クレジット協会、2024年3月）https://www.j-credit.or.jp/information/statistics/download/toukei_03_g.pdf

4. https://www.j-credit.or.jp/security/pdf/Creditcardsecurityguidelines_5.0_published.pdf

5. 「「クレジットカード・セキュリティガイドライン」が改訂されました」（経済産業省、2024年3月15日）https://www.meti.go.jp/press/2023/03/20240315002/20240315002.html

6. 「クレジットカード・セキュリティガイドライン【5.0版】の主なポイントについて」（クレジット取引セキュリティ対策協議会、2024年4月）https://www.meti.go.jp/shingikai/mono_info_service/credit_card_security/pdf/001_05_00.pdf

7. 各事業者や番号等適切管理措置の詳細など本ガイドラインの詳細については「SH4393 割賦販売法におけるクレジットカード番号等の保護　井上乾介／佐々木公樹（2023/04/05）」を参照されたい。

8. 19頁以下

9. オンラインショッピング時にクレジットカード番号等の情報の盗用による不正利用を防ぎ、安全にクレジットカード決済を行うために国際ブランドが推奨する本人認証サービス。

10. https://www.meti.go.jp/shingikai/mono_info_service/credit_card_security/001.html

Originally published by Shojihomu Co., Ltd..

To view the full article, click here.

Originally published 31 May 2024

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.