EC事業者向け｜クレジットカード・セキュリティガイドライン6.0版最新解説と対応策

この記事はKOMOJUが提供しています。
KOMOJU（コモジュ）は個人から世界的大企業まで様々な事業者が利用している日本の決済プラットフォームです。

「クレジットカード・セキュリティガイドラインって何？」

「2025年の改訂で何が変わるの？自社ではどんな対応をすればいい？」

ECサイトでカード決済を扱う事業者であれば、こうした疑問を一度は持ったことがあるのではないでしょうか。

クレジットカード・セキュリティガイドラインは、日本クレジット協会が策定する、カード情報保護と不正利用防止のための実務指針です。特に近年は、ECサイトを狙った不正アクセスやクレジットカード情報の漏えいが増加しており、ガイドラインの改訂内容を正しく理解して対応することが、事業を継続的に守る第一歩となります。

本記事では、2025年3月に改訂された「6.0版」のポイントを中心に、改訂の背景と要点、EC事業者が取るべき具体的な対策、ガイドラインに準拠しない場合のリスクをわかりやすく整理します。

これからEC事業を拡大したい、またはセキュリティ体制を見直したい事業者の方は、ぜひ参考にしてください。

クレジットカード・セキュリティガイドラインとは

クレジットカード・セキュリティガイドラインは、日本のクレジットカード決済におけるセキュリティ水準を国際基準に引き上げることを目的として策定された指針です。

クレジットカード取引に関わる事業者（カード会社、加盟店、決済代行会社など）が講じるべきセキュリティ対策が定められています。策定主体は「クレジット取引セキュリティ対策協議会」（事務局：一般社団法人日本クレジット協会）で、2020年3月に初版が公表されました。

目的は、クレジットカード情報の漏えい防止と、不正利用被害の抑止です。特にインターネット上で取引を行うEC事業者は、不正アクセスやクレジットカード情報流出のリスクが高く、ガイドラインに沿ったセキュリティ対策の実施が求められています。

クレジットカード・セキュリティガイドラインは、割賦販売法に基づく監督指針の中で「実務上の指針」と位置付けられています。つまり、ガイドラインで示された内容と同等以上のセキュリティ対策を実施していれば、法律で求められる「必要かつ適切な措置」を講じたものと判断されます。対象となるのは、世界中で利用される国際ブランド付きのクレジットカードです。

クレジットカード・セキュリティガイドラインの改訂背景とスケジュール

クレジットカード・セキュリティガイドラインは、時代の変化や不正手口の高度化に合わせて改訂が続けられています。最新のクレジットカード・セキュリティガイドライン【6.0版】の改訂内容は、2025年3月に公表されました。

今回の改訂背景には、EC事業者でのクレジットカード不正利用被害が増加している現状があります。2024年のクレジットカード不正利用被害額は555億円に達し、2022年と比較すると約100億円以上増加しました。被害額のうち92%が番号盗用によるものでした。（参照：一般社団法人日本クレジット協会「クレジットカード不正利用被害の発生状況」2025年9月）

この状況を受け最新の「6.0版」では、クレジットカード情報保護対策や不正利用対策に加え、EC加盟店のシステムやWebサイトにおける脆弱性対策の実施や、不正ログイン対策、EMV 3-Dセキュアの導入などが新たに指針対策として明記されています。

クレジットカード・セキュリティガイドラインの概要

クレジットカード・セキュリティガイドラインの構成は、「カード情報保護対策」と「不正利用防止対策」の2つが柱です。ここに、消費者の理解と行動を促す「周知・啓発」が加わります。これら3つの要素を組み合わせることで、業界全体として安全な決済環境を継続的に維持することを目指しています。

カード情報保護対策

カード情報保護対策は、加盟店がカード番号などの機微情報を外部に漏らさないための取り組みです。

基本的な方針は、加盟店がクレジットカード情報を自社で保持しない「非保持化」を推進することです。やむを得ずカード情報を保持する場合は、国際的なセキュリティ基準である「PCI DSS」に準拠することが求められます。

PCI DSS（Payment Card Industry Data Security Standard）は、カード情報を安全に扱うための国際基準です。

ネットワークの監視やアクセス制限、暗号化などの要件を定めており、準拠することで情報漏えいリスクを大幅に軽減できます（出典： PCI Security Standards Council公式サイト）。

さらに、システムやWebサイトの設定不備、アクセス制御の欠如といった管理面の問題も情報漏えいの原因となります。そのため、技術的な対策だけでなく、権限管理・運用ルール・監査体制の整備など、運用面での管理強化も重視されています。

これにより、加盟店は取引データの安全性を確保し、消費者の信頼を損なわない体制を築くことができます。

不正利用対策

不正利用対策は、カードの盗用やなりすまし被害を防ぐための取り組みです。

不正利用は、カード番号の盗用やアカウント乗っ取り、クレジットマスター攻撃など、複数の手口で発生します。ガイドラインでは、こうした不正を防ぐために、カード決済の一連の流れを通して対策を講じる「線の考え方」を採用しています。

「線の考え方」とは、決済前・決済時・決済後をそれぞれの場面で発生し得るリスクに応じて守る考え方です。たとえば、決済前は不正ログイン防止、決済時は本人認証の強化、決済後は転売や配送詐欺の監視など、取引全体で多層的に防御します。

特にEC加盟店では、3-Dセキュアの導入、不審アクセスの監視、多要素認証の活用といった複数の対策を組み合わせることが推奨されています。

▼不正利用対策における「線」の考え方

（参照：クレジット取引セキュリティ対策協議会「クレジットカード・セキュリティガイドライン【6.0版】改訂ポイント」2025年3月）

このように加盟店・カード会社・決済事業者が連携し、流れ全体でリスクを管理することで、より実効性の高いセキュリティ対策を実現できます。

周知・啓発

ガイドラインでは、セキュリティ対策の実効性を高めるために、消費者に対する周知と啓発の重要性も示されています。

不正利用の防止には、事業者側のシステム対策だけでなく、カード利用者自身の理解と協力が不可欠とされています。関係事業者（カード会社、決済代行会社、EC加盟店など）には、消費者が安全にクレジットカード決済を利用できるよう、以下のような取り組みが求められています。

クレジットカード情報を不用意に共有しないよう注意喚起する
不審なサイトやメールにクレジットカード情報を入力しないよう促す
不正利用の兆候（見覚えのない請求など）があれば速やかにカード会社へ連絡するよう案内する

こうした取り組みを通じて、消費者・加盟店・カード会社が一体となったセキュリティ意識の醸成を図ることが目的とされています。

6.0版で追加・変更された主要ポイント

クレジットカード・セキュリティガイドライン【6.0版】での追加・変更点は以下のとおりです。

【主要な改訂ポイント】

EC加盟店のシステムおよびWebサイトにおける「脆弱性対策」の実施
EMV 3-Dセキュアの導入
適切な不正ログイン対策の実施
MO・TO取引（郵便・電話注文取引）取扱加盟店における不正利用対策の強化
不正顕在化加盟店（被害が発生している加盟店）に対する不正利用対策の強化
対面取引加盟店におけるサイン取得による本人確認およびPINバイパスの廃止

※ 参照：クレジット取引セキュリティ対策協議会「クレジットカード・セキュリティガイドライン【6.0版】改訂ポイント」2025年3月

6.0版での「カード情報保護対策」の追加項目と対応策

6.0版の改訂では、EC加盟店における「脆弱性対策」の実施が新たに指針対策として追加されました。

変更ポイント1：「脆弱性対策」の実施

従来の「非保持化」や「PCI DSS準拠」といった方針は、クレジットカード情報を直接保持するリスクを減らすうえで有効でした。しかし、システムの設定不備や脆弱性を悪用した攻撃が依然として発生しており、ECサイトや管理システム自体の安全性をさらに高める必要があります。

こうした背景を受け、ガイドライン6.0では「技術的な脆弱性対策」が新たに指針対策として位置づけられ、加盟店が安全なシステム運用を行うための具体的な方針が示されました。

ガイドラインでは、次のような技術的・運用的対策を講じることが求められています。

管理画面へのアクセス制限と、管理者アカウントのID・パスワードの適切な管理
データディレクトリの制限や重要なファイルの非公開
Webアプリケーションの脆弱性診断の定期実施と修正対応
マルウェア対策として、ウイルス対策ソフトの導入と運用体制の維持
悪質な有効性確認や、クレジットマスター攻撃（不正なカード番号テスト）への対策

これらの施策は、短期間で大量のクレジットカード情報を窃取されるリスクの発生を防ぎ、加盟店全体のセキュリティ水準を底上げすることを目的としています。

6.0版での「不正利用対策」の追加項目と対応策

6.0版では、EC加盟店を中心に増加している「なりすまし・不正ログイン」などの被害を防ぐため、「決済前の本人確認」と「決済時の認証強化」を軸に、不正対策の実効性を高める内容が追加されています。

変更ポイント1：EMV 3-Dセキュアの導入

従来のECサイト決済では、クレジットカードのカード番号・有効期限に加えて、「セキュリティコード（CVV/CVC）」を利用者に入力させることで、クレジットカードの実物を所持している本人かどうかを確認する方法が一般的でした。しかし、セキュリティコードはカード面に印字された静的情報であるため、フィッシングやマルウェア感染などによる漏えいを完全に防ぐことはできません。

こうした背景から、オンライン決済時の認証を強化する「EMV 3-Dセキュア」の導入が追加されました。EMV 3-Dセキュアは、カード発行会社（イシュアー）が本人確認を行う仕組みです。EC加盟店はEMV 3-Dセキュアを導入し、決済ごとに本人認証を実施することが求められます。

EMV 3-Dセキュアは、国際標準化団体 EMVCo が策定するオンライン本人認証の国際規格で、クレジットカードのなりすまし被害を防止するための認証フレームワークです（出典：EMVCo「3-D Secure Protocol and Core Functions」）。

変更ポイント2：適切な不正ログイン対策の実施

6.0版では、不正利用被害額の上位加盟店の約7割が「ログインを伴うECサイト」であったと分析されています。そのため、「カード決済時」だけでなく「ログイン・登録時」といった決済前の段階でも、本人確認やアクセス制御を含む不正ログイン対策を行う必要があるとされています。

具体的な対策として、以下のような措置が挙げられます。

不審なIPアドレスや国・地域からのアクセスの制限
2段階認証または多要素認証による本人確認
会員登録時の本人情報確認の強化
ログイン試行回数制限やスロットリングの実装
ログイン・情報変更時の通知メールやSMSの送信
利用端末・行動パターンの分析（デバイスフィンガープリント）

これらの対策を組み合わせることで、不正アクセスによるアカウント乗っ取りや不正アカウント作成を防止できます。

不正利用対策に効果的な不正検知システムの導入

EMV 3-Dセキュアの導入や不正ログイン対策といった不正利用対策に加え、近年では「不正検知システム（Fraud Detection System：FDS）」の導入も効果的であると注目されています。クレジットカード・セキュリティガイドライン【6.0版】においても、不正利用の早期検知および被害抑止のための対策として推奨されています。

不正検知システムは、ユーザーのログイン履歴・IPアドレス・アクセス環境・行動パターンなどのデータをもとに、通常とは異なる挙動（不審な時間帯・端末・地理情報など）をリアルタイムで検知するものです。異常を検出した場合は、決済取引の一時保留や再認証要求などの対応を自動化して行い、不正アクセスやなりすましを未然に防ぎます。

さらに、AIや機械学習を活用したリスクベース認証（RBA：Risk-Based Authentication）と組み合わせることで、より高精度な判定が可能です。これにより、正当な利用者にはスムーズな決済体験を提供しつつ、不正利用の兆候を早期に把握できる多層的な防御体制を構築できます。

また、不正検知システムは、クレジットカード会社や決済代行会社が行う「オーソリ（Authorization：与信承認）」プロセスとも連携し、疑わしい取引を自動的に審査・保留する役割も果たします。こうした一連の仕組みにより、加盟店側でも不正な決済を事前にブロックし、被害の拡大を防ぐことが可能です。

ガイドラインに準拠しないリスク

クレジットカード・セキュリティガイドラインは法的拘束力はないものの、実質的には割賦販売法上の「必要かつ適切な措置」を示す指針です。未対応のままでは、法令違反の疑いが生じるだけでなく、事業継続や取引面での信頼にも影響が出るおそれがあります。

リスク1：法的リスク

ガイドラインを軽視した状態で情報漏えいが発生した場合、監督官庁から「管理体制の不備」と見なされる可能性があります。行政指導や改善命令を受けたり、個人情報保護法違反などの法的責任を問われたりするリスクが生じるでしょう。

リスク2：経営リスク

クレジットカード情報の漏えいや不正利用が発覚すれば、顧客離脱やブランド毀損など経営への影響は甚大です。調査・補償・再発防止対応に多額のコストが発生し、売上回復にも時間を要するでしょう。

リスク3：取引リスク

カード会社や決済代行会社からの取引停止・制限を受ける可能性があります。特にEC事業者は、カード決済が利用できなくなることで販売機会を大きく失うリスクが生じるでしょう。

また、不正利用が発生した場合には、チャージバック（カード会社が利用者に返金し、加盟店が損失を負担する仕組み）が発生することがあります。この場合、販売代金が取り消されるだけでなく、調査・対応に伴う追加コストが発生し、経営への影響が長期化するおそれがあるでしょう。

リスク4：技術的リスク

ガイドライン未対応のままでは、脆弱性や不正アクセスのリスクを放置することになります。古いシステムや設定不備を悪用され、改ざん・情報流出といった二次被害につながるおそれがあるでしょう。

これらのリスクは、クレジットカード・セキュリティガイドラインに沿った基本的な対策を講じることで、大きく軽減できます。まずは自社の運用体制やシステム環境を点検し、段階的にガイドライン準拠を進めることが重要です。

セキュリティ対策はコストではなく、むしろ顧客との信頼関係を守るための投資です。安全で安心なカード取引環境を整えることが、結果的に事業の成長と継続性を支える基盤となります。

まとめ｜クレジットカード・セキュリティガイドラインに則った対策を

クレジットカード・セキュリティガイドラインは、割賦販売法に基づく実務上の基準として位置づけられています。EC事業者にとっては、6.0版で追加された「脆弱性対策」「不正ログイン対策」「EMV 3-Dセキュア導入」などが、今後の安全な取引に欠かせません。

自社のシステムや運用を点検し、ガイドラインに沿った対策を段階的に進めることが、不正利用や情報漏えいの防止への近道です。技術的な対策に加え、従業員や利用者への周知も継続して行いましょう。

セキュリティ対策は一度で完結するものではなく、事業の成長やシステム変更に合わせて見直す必要があります。最新のガイドラインを理解し、着実な対応で安全かつ信頼性の高いEC運営を実現しましょう。

ガイドラインに沿ったセキュリティ体制を整えるために、信頼性の高い決済プラットフォームを活用するのも効果的です。たとえば、決済代行サービス「KOMOJU」を導入し、チャージバックゼロを実現した事例があります。

KOMOJUでは、世界基準の不正検知システムが標準で搭載されています。IPアドレスの監視や購入履歴データの分析をAIが自動で行い、不正アクセスや不正利用の兆候をリアルタイムで検知します。疑わしい取引を未然にブロックすることで、EC事業者は不正被害を防ぎながら、顧客体験を損なうことなく安全な決済環境を実現できるでしょう。