SH4918 「クレジットカード・セキュリティガイドライン」の改訂およびクレジットカード・セキュリティ官民対策会議の設置 井上乾介/佐々木公樹/長谷川達(2024/05/09)

電子商取引・プラットフォーム風評・危機管理
重要ニュース速報(アンダーソン・毛利・友常法律事務所外国法共同事業)

「クレジットカード・セキュリティガイドライン」の改訂および
クレジットカード・セキュリティ官民対策会議の設置

アンダーソン・毛利・友常法律事務所*

弁護士 井 上 乾 介

弁護士 佐々木 公 樹

弁護士 長谷川   達

 

1 はじめに

 経済産業省は、2018年4月に「キャッシュレス・ビジョン」[1]を策定し、キャッシュレス決済比率を2025年までに4割程度にするという目標を掲げた。2023年には、キャッシュレス決済比率は、39.3%まで上昇し[2]、クレジットカードが、キャッシュレス決済の総利用額の83.5%と、最も上位を占める。

 一方で、クレジットカードの不正利用被害は、従来から指摘されており、実際に、2023年のクレジットカードによる不正使用被害の総額は、540.9億円と[3]、過去最高となった。クレジットカードの安全・安心な利用環境を確保するために、セキュリティ対策が不可欠である。

 本稿では、クレジットカード番号等の保護対策の実務上の指針とされる「クレジットカード・セキュリティガイドライン」(以下「本ガイドライン」という。)の改訂版[4](以下「本ガイドライン【5.0版】」という。)が2024年3月15日に発表された[5][6]ことから改訂のポイント等を紹介し、併せてクレジットカード・セキュリティ官民対策会議の設置についても触れる。

 

2 クレジットカード・セキュリティガイドラインについて

⑴ 割賦販売法におけるクレジット番号等の保護

 割賦販売法(以下「法」という。)は、「クレジットカード番号等取扱業者」に対し、クレジットカード番号等の適切な管理のために必要な措置を講じなければならない(以下「番号等適切管理措置」という。)としている(法35条の16第1項)。「クレジットカード番号取扱業者」には、2021年の法改正により、QRコード事業者等が追加されるなど、2023年時点で7類型の事業者が、「クレジットカード番号取扱業者」として指定されている。

 そして、割賦販売法上、番号等適切管理措置は「経済産業省令で定める基準」に従うものとされ、これを受けて、法施行規則132条において、具体的な基準が定められている。

 本ガイドラインは、これらを踏まえてクレジットカード番号等取扱業者が実施すべきクレジットカード情報の漏えいおよび不正利用防止のためのセキュリティ対策を取りまとめている。番号等適切管理措置クレジットカード番号等取扱業者は、本ガイドラインに沿った措置、またはそれと同等以上の措置を講じることが求められる[7]

 

⑵ 改訂前の本ガイドラインの構成

 改訂前においては、「クレジットカード情報保護対策分野」、「不正利用対策分野」、「消費者及び事業者等への周知・啓発分野」の3つの分野で章立てされており、それぞれの章で各事業者が講じるべき対策が記載されていた。

 

3 クレジットカード・セキュリティガイドライン【5.0版】の主な改訂ポイント

 まず、構成面についてみると、本ガイドライン【5.0版】では、従前の3分野構成から、必要なセキュリティ対策を各事業者が自ら適切に講じられる内容とすることを目的に、「各事業者が講じる対策等」として、事業者別の構成に変更されている[8]

 そのため、各事業者は、自らが該当する事業者の項目を参照することで、上記3つの分野それぞれで自らが講じるべき対策がわかるようになっており、閲覧性が改善されている。

 次に、内容面についてみると、主に①クレジットカード情報保護対策および②不正利用対策について変更がなされている。主な変更点は、以下の通りである。

 

  クレジットカード情報保護対策 不正利用対策
カード会社
(イシュアー)		  

EMV 3-Dセキュア[9]の推進のため、2025年3月末までに以下を目指す

  1. ➣ EMV3-Dセキュアに必要なカード会員情報について、EC利用会員ベースで80%の登録率
  2. ➣「動的(ワンタイム)パスワード等」による認証方法へ、EMV3-Dセキュア登録会員ベースで100%の移行率
加盟店
(EC加盟店)

EC加盟店は、新規加盟店契約申込前に「セキュリティ・チェックリスト」記載のぜい弱性対策等のセキュリティ対策を実施

  1. ➣ 実施状況をアクワイアラー・PSPに申告
  2. ➣ 2025年4月以降新規のみならずすべてのEC加盟店が対象

EMV 3-Dセキュアの導入計画を策定し、早期の導入に着手

  1. ➣ 不正利用が多発している加盟店は、EMV 3-Dセキュアの即時導入に着手
カード会社
(アクワイアラー)		 EC加盟店に対して「セキュリティ・チェックリスト」に記載されているセキュリティ対策を実施する必要性の周知

不正利用発生リスクに応じた2025年3月末までのEMV 3-Dセキュアの導入計画の策定および導入

  1. ➣ 不正利用が多発している加盟店のEMV 3-Dセキュアの即時導入着手など
決済事業者
PSP

EC加盟店に対して「セキュリティ・チェックリスト」に記載されているセキュリティ対策を実施する必要性の周知

  1. ➣ EC加盟店と新規に加盟店契約をする際は、2025年3月末までにEMV 3-Dセキュアを導入することを説明した上で契約
 不正利用発生リスクに応じた2025年3月末までのEMV 3-Dセキュアの導入計画の策定および導入 Ø   不正利用が多発している加盟店のEMV 3-Dセキュアの即時導入着手など

出典:本ガイドライン【5.0版】の内容を基に作成

 

⑵ 今後の不正利用対策の考え方

 上記の表の通り、2025年4月以降は、すべてのEC加盟店においてEMV 3-Dセキュアが導入されることになる。

 もっとも、本ガイドライン【5.0版】は、より不正利用の抑止効果を高めるために、決済の場面を、決済前・決済時・決済後の3つに分け、それぞれの場面において不正利用対策を行うといった、以下のような線の考え方が重要だとしている。

出典:本ガイドライン【5.0版】58頁

 

4 クレジットカード・セキュリティ官民対策会議の設置[10]

⑴ 背景

 近年、特にEC決済におけるクレジットカードの不正利用額が急増している。そのため、上記の経産省の取組に加えEMV 3-Dセキュア等の不正利用対策を継続的・効果的に行う必要がある。

 そこで、経産省は、クレジットカードの安心・安全な利用を官民一体で実現するために、2024年4月に、クレジットカード・セキュリティ官民対策会議を設置し、第1回が、2024年4月9日に開催された。

 

⑵ 活動内容等

 官民対策会議では、今後、主に、クレジットカード番号の漏洩・不正利用被害状況や、事業者等によるセキュリティ対策の現状や課題が共有される。その上で、海外での、クレジットカード不正利用への取組等も参考にしつつ、今後、わが国でどのような対策を行っていくか、その方向性について意見交換を行うことなどが予定されている。

 

5 実務への示唆

 キャッシュレス決済は今後もさらに普及していくことが考えられる。その中で、クレジットカード番号等取扱業者はキャッシュレス決済のうち、利用総額の大部分を占めるクレジットカードを扱っている。そのため、クレジットカード番号取扱業者は、クレジットカード利用者がクレジットカード安心・安全に利用できるように、適切な措置を講ずる必要があるといえる。その意味で、本ガイドラインはクレジットカード番号取扱業者にとって必須のものといえよう。

 もっとも、本ガイドラインが、制定以来毎年改訂されているのも事実である。そのため、クレジットカード番号取扱業者は本ガイドラインの動向を注視し、内容を適切に理解する必要がある。

 また、クレジットカードのセキュリティ対策に関して官民一体で取り組み、消費者および事業者へ、周知・啓発していくことが求められ、クレジットカードの安全・安心な利用を実現していくことが求められる。

以 上

 

[1] 「「キャッシュレスの将来像に関する検討会」のとりまとめを行いました」(経済産業省、2023年3月20日)https://www.meti.go.jp/press/2022/03/20230320002/20230320002.html

[2] 「2023年のキャッシュレス決済比率を算出しました」(経済産業省、2024年3月29日)https://www.meti.go.jp/press/2023/03/20240329006/20240329006.html

[3] 「クレジットカード不正利用被害の発生状況」(一般社団法人日本クレジット協会、2024年3月)https://www.j-credit.or.jp/information/statistics/download/toukei_03_g.pdf

[4] https://www.j-credit.or.jp/security/pdf/Creditcardsecurityguidelines_5.0_published.pdf

[5] 「「クレジットカード・セキュリティガイドライン」が改訂されました」(経済産業省、2024年3月15日)https://www.meti.go.jp/press/2023/03/20240315002/20240315002.html

[6] 「クレジットカード・セキュリティガイドライン【5.0版】の主なポイントについて」(クレジット取引セキュリティ対策協議会、2024年4月)https://www.meti.go.jp/shingikai/mono_info_service/credit_card_security/pdf/001_05_00.pdf

[7] 各事業者や番号等適切管理措置の詳細など本ガイドラインの詳細については「SH4393 割賦販売法におけるクレジットカード番号等の保護 井上乾介/佐々木公樹(2023/04/05)」を参照されたい。

SH4393 割賦販売法におけるクレジットカード番号等の保護 井上乾介/佐々木公樹(2023/04/05)
割賦販売法におけるクレジットカード番号等の保護 アンダーソン・毛利・友常法律事務所外国法共同事業 弁護士 井 上 乾 介 弁護士 佐々木 公 樹 1 はじめに  キャッシュレス決済が浸透してきている現代社会において、クレジットカード決済によ...
portal.shojihomu.jp
2023.04.04

[8] 19頁以下

[9] オンラインショッピング時にクレジットカード番号等の情報の盗用による不正利用を防ぎ、安全にクレジットカード決済を行うために国際ブランドが推奨する本人認証サービス。

[10] https://www.meti.go.jp/shingikai/mono_info_service/credit_card_security/001.html

 

[/groups_member]

(いのうえ・けんすけ)

アンダーソン・毛利・友常法律事務所 スペシャル・カウンセル。2004年一橋大学法学部卒業。2007年慶応義塾大学法科大学院卒業。2008年弁護士登録(東京弁護士会)。2016年カリフォルニア大学バークレー校・ロースクール(LLM)修了。2017年カリフォルニア州弁護士登録。著作権法をはじめとする知的財産法、個人情報保護法をはじめとする各国データ保護法を専門とする。

 

(ささき・こうき)

アンダーソン・毛利・友常法律事務所アソシエイト。2021年早稲田大学法学部卒業。2022年弁護士登録(第二東京弁護士会)。

 

(はせがわ・いたる)

アンダーソン・毛利・友常法律事務所アソシエイト。2021年中央大学法学部卒業。2022年東京大学法科大学院中退。2023年弁護士登録(東京弁護士会)。

 

アンダーソン・毛利・友常法律事務所外国法共同事業 https://www.amt-law.com/

<事務所概要>
アンダーソン・毛利・友常法律事務所外国法共同事業は、日本における本格的国際法律事務所の草分け的存在からスタートして現在に至る、総合法律事務所である。コーポレート・M&A、ファイナンス、キャピタル・マーケッツ、知的財産、労働、紛争解決、事業再生等、企業活動に関連するあらゆる分野に関して、豊富な実績を有する数多くの専門家を擁している。国内では東京、大阪、名古屋に拠点を有し、海外では北京、上海、香港、シンガポール、ホーチミン、バンコク、ジャカルタ等のアジア諸国に拠点を有する。

<連絡先>
〒100-8136 東京都千代田区大手町1-1-1 大手町パークビルディング

 

*「アンダーソン・毛利・友常法律事務所」は、アンダーソン・毛利・友常法律事務所外国法共同事業および弁護士法人アンダーソン・毛利・友常法律事務所を含むグループの総称として使用

 

 

 

タイトルとURLをコピーしました