カードセキュリティ最新情報, カードセキュリティPCI DSS, トップページ用注目ニュース, ペイメントニュース, ペイメント新着情報, 流通・コマースNavi

足元で起きている日本の決済不正の最新動向と2026年の不正対策の注目点

2026年4月13日8:10

日本のクレジットカードの不正被害は、3Dセキュアの義務化以降、動向に変化が見られる。数字からだけでは読み取れない足元で起きている不正被害の実態を、カード会社、加盟店、国際ブランドそれぞれの観点から紐解く。また、2026年以降、不正対策としてカード会社、加盟店がとるべき対策を海外の事例等を含めて解説する。（2026年3月17日開催「ペイメント・セキュリティフォーラム2026 Spring」の基調講演より）

丸山秀幸氏

イシュア、アクワイアラ、加盟店のそれぞれの目線で現状を分析

私は2010年から2023年末までMastercardに在籍しておりました。Mastercardに在籍中、2016年からは、セキュリティを担当していました。またこの間、クレジット取引セキュリティ対策協議会の委員として、EMV 3-Dセキュアの義務化を推進する立場にもありました。ちなみに私は新卒でアメリカン・エキスプレスに入社し、アクワイアリング業務に携わった経験もあります。余談ですが、そのときの同期入社のメンバーが、今、日本支社長になっています。

2024年からはフリーで活動しており、いろいろなところに呼んでいただいて話をしたり、スタートアップの顧問をしたりしています。今日は私の個人的な見解として、クレジットカード周りのお話をさせていただきます。先日、日本クレジット協会（JCA）から、2025年の不正利用被害額の発表がありましたので、その数字を見ながら、今起きていること、今後起きそうなこと、今後実施すべき方策についてお話ししようと思います。2025年3月を期限にEMV 3-Dセキュアが義務化されました。それから1年経ってどんな状況になっているのかといったことと、カード会社、加盟店、国際ブランドでの職務経験に基づいたお話も少しさせていただこうと思います。

不正利用の増大によってカード会社に大きな負担がのしかかる

早速、今日のアジェンダの1つ目、数字から見る不正被害についてお話ししたいと思います。JCAが出している数字では、2024年が555億円、2025年が510億円ということで、500億円以上の不正利用被害がいまだに発生し続けていますよ、というのが、一般的な見方です。JCAにすれば、2025年3月にEMV 3-Dセキュアが義務化されたので、その成果をアピールしたいというところも多少あるでしょう。

実際に2025年の4-6月は前年対比で数字が落ちています。大したものだと思うのですが、この数字は、カード会社の自主申告による数字です。40社の数字を集計したものです。ほかの被害、たとえば特殊詐欺の被害などは、だいたい警察庁が被害額として報告している数字です。それに対してこのクレジットカード不正被害額は、カード会社が報告している数字です。きれいに3-Dセキュアの効果が上がっているように見えるのですけれども、そんなにうまくいっていただろうかというのが私の見解で、ある程度忖度のある数字なのかなぁとも思っています。加えて、数字の上がり下がりはありますが、いまだこれだけの被害があることには変わりがないということです。

先ほど、カード会社の報告と言いましたが、つまりこれは、イシュアが報告した数字です。加盟店側の実感とは乖離があるように思います。そしてここには国外発行のカードによる被害は含まれていません。加盟店からすれば、不正が国内発行のカードで起きたのか国外発行のカードかということは関係ありません。ですがこの数字はあくまで国内のイシュアの数字で、国内発行分だけが対象だということです。

私がセキュリティ担当になった2016年を振り返ってみると、当時のクレジットカード不正利用被害額は142億円でした。クレジット取引セキュリティ対策協議会が立ち上がって間もない頃で、不正被害をなんとか食い止めよう、2020年の東京オリンピックに向けてインフラを整備しようという機運が高まっていました。

けれどもその後、被害額は増えて、2025年には1-3月期だけで被害額は優に100億円を超えています。単純に2016年の4倍になったということです。この間にキャッシュレス化が推進されて、カード決済の単価は大幅に下がっているので、件数で考えれば4倍では済まない。8倍から10倍ぐらいの件数が被害に遭っているということです。

先ほどから申し上げているように、この被害額は、カード会社が不正被害と認定したものだけです。カード会社はカード会員から「こんな利用はしていない」と連絡を受けて、確認をした上で不正被害と認定しますから、これに係るオペレーション業務は10倍忙しくなっているはずです。人手が足りない。AI全盛の時代といっても、不正被害には１件１件対応しなければいけませんので、カード会社で信用管理をしている方の苦労は計り知れません。カード会社はとても忙しい、それもマニュアル対応でとても大変なのです、ということを、カード会社目線で申し上げておきたいと思います。

加盟店や決済代行会社の方は、カード会社は素晴らしくAI活用が進んでいてバンバン処理しているのだろうと思われているかもしれませんが、実際はそうでもなく、人員も増やせず、ある程度優先順位をつけないと対応できないということになってきている。不正利用対策はそういうかたちにならざるを得ないという側面があります。