2026年4月21日8:30
クレジット取引セキュリティ対策協議会では、クレジットカード取引の関係事業者が実施すべきセキュリティ対策を、2020年3月に「クレジットカード・セキュリティガイドライン」としてとりまとめた。2026年3月には6回目となる改訂を実施。この主な改訂内容と合わせて、クレジット取引セキュリティ対策協議会の2026年度の取組予定について紹介する。(2026年3月17日開催「ペイメント・セキュリティフォーラム2026 Spring」の講演より)
クレジット取引セキュリティ対策協議会 事務局
一般社団法人日本クレジット協会 業務部
セキュリティ対策統括マネージャー 中村 裕成氏
ガイドラインの6回目の改訂を実施
大きな変更はなく各事業者の理解促進のための改訂を実施
クレジット取引セキュリティ対策協議会の事務局を担当しております、日本クレジット協会の中村と申します。本日は、3月11日に開催された第13回クレジット取引セキュリティ対策協議会本会議で承認された「クレジットカード・セキュリティガイドライン」(以下、ガイドライン)【6.1版】の改訂のポイントと、2026年度の当協議会の取組内容についてご説明いたします。
まず、昨年2025年3月に改訂したガイドライン【6.0版】については、不正利用被害額の9割を占めるEC加盟店を対象とした指針対策を追加いたしました。カード情報保護対策では、EC加盟店のシステムおよびWebサイトの改ざんやウイルス感染による情報漏えいを防ぐために、脆弱性対策の実施を追加しました。さらに不正利用対策においては、本人になりすましてログインを行い、不正利用を行う手口への対策として、適切な不正ログイン対策の実施、それから利用時に本人になりすまして不正利用を行う手口への対策としてEMV 3-Dセキュアの導入を追加いたしました。
これらの指針対策を含めて、ガイドライン【6.0版】は、不正の発生原因や対策効果の観点から現時点において実施すべき指針対策が網羅されているものと協議会にて判断し、2026年度の改訂では新対策の追加・変更などは行いませんでした。各関係事業者による指針対策の着実な実施を目的とし、各事業者の理解促進のために、よりわかりやすい記載内容とした改訂を行っております。
よって今回のガイドラインは、ガイドライン【6.0版】をベースとしており、追加・変更はないことから、【6.1版】としております。
2025年の国内クレジットカード不正利用額は
前年比44.5億円減、8%減の510.5億円に
ここからは、不正利用被害の動向と、ガイドライン附属文書の改訂についてご説明いたします。
まず、不正利用被害の状況は、2026年3月6日に日本クレジット協会(JCA)より、2025年のクレジットカード不正利用被害額が公表されました。
不正利用被害額は3年連続で500億円超となりましたが、2025年の不正利用被害額は過去最高を示した2024年の555.0億円より44.5億円減、前年比8%減の510.5億円となりました。コロナ禍にあった2020年以来5年ぶりに、前年からの減少傾向を示したということになります。また、不正利用被害額の9割を占めるEC加盟店の番号盗用、なりすましの不正利用被害額は、コロナ禍の2020年においても増加していましたので、2025年にはじめて減少に転じたことになります。
月単位で見ますと、2025年4月以降、減少傾向が続いています。今後もこの傾向が続いていくことが期待されます。
不正被害額の減少を実現されたのは、EC加盟店をはじめ、PSP、カード会社および関係事業者各社の皆様が、2025年3月を期限としたEMV 3-Dセキュアの導入、ECの新規加盟店へのセキュリティ対策の試行運用など、ガイドライン【6.0版】に則った対応を早期に実施して頂いた成果の表れと考えております。あらためて関係事業者の皆様のご対応に感謝するとともに、引き続き不正利用対策の実行をお願いいたします。
具体的方策を示す附属文書を複数カ所改訂
磁気フォールバックは禁止事項に
次に、セキュリティ対策の具体的な方策を示す、ガイドラインの附属文書についてご説明いたします。下記の(付属文書の改訂について⑤⑥)の附属文書一覧に示しております通り、今回は18の附属文書の変更、および、2つの新規文書の追加を行いました。主に改訂を行った点は、大きく3点です。
1点目は、IC取引関連における、非接触ICカード取引の本人確認方法の明確化です。対面取引においては、国際ブランドの非接触ICの一部のカード型の取引において、PIN入力による本人確認ができないケースがあります。この場合、本人確認方法として認められていないサインによる取引に誘導され、不正抑止や加盟店の運用の面での課題となっていました。そこで情報処理センター、POS事業者、国際ブランド等と検討を行った結果、接触ICに遷移してPIN入力を行えるようにするためのシステムの実装方法の合意がされました。日本国内においては、一定金額以上の決済については、非接触ICカードのタッチ決済から、接触ICカードの差し込みによるPIN入力に移行する方向で端末の実装を行うべく、附属文書のICカード対応POSガイドライン(第1部 取引処理編)【1.1版】の改訂を行いました。
2点目は、磁気フォールバック取引の禁止です。接触ICカードの取引では、ICチップに不具合があって情報の読み取りができない場合には、磁気ストライプに遷移して取引を行う磁気フォールバック取引が認められていました。しかしながら、ICの性能が向上している現在において磁気フォールバックは減少するものと考えておりましたが、磁気フォールバックのオーソリは逆に増加しているケースが確認されています。海外では、意図的にフォールバックを起こして、偽造カードで磁気ストライプの取引を行う事例も確認されています。そのため一部の国際ブランドではフォールバックを禁止しています。
そこで、不正利用発生防止の観点から、2026年4月以降の新規決済端末の開発またはシステム更改においては磁気フォールバック取引を禁止することを国際ブランド、カード会社と合意し、これに伴って附属文書も改訂しました。また、不正利用発生防止の緊急性を考慮して、JCA会員のカード会社に注意喚起のための通知を行いました。特に加盟店の皆様においては、セルフレジ、セミセルフレジにおける注意と、イシュアの皆様には、磁気ストライプのオーソリについて注意をしていただくようにお願いいたします。
3点目は、EC取引における不正利用抑止を実現した加盟店の事例の掲載です。JCAのインフラ整備部会では、非対面の不正利用対策について、ガイドライン記載の基準等の検証及び不正利用被害防止の決済の調査・検証を行っています。2025年度の活動では不正多発加盟店いわゆる不正顕在化加盟店において不正利用の抑止を実現した加盟店の対策状況の分析を行いました。その結果、不正の抑止には組織体制の整備を伴った属性・行動分析の活用が有効であることが明らかになったため、具体的な取り組みについて追加調査を行い、この結果を「好事例加盟店」として取りまとめ、当協議会に報告されました。
当協議会では、この事例は加盟店およびカード会社・PSPに広く共有することが不正抑止には有効であると考え、「EC加盟店におけるセキュリティ対策導入ガイド【附属文書20】」の別紙dに「不正利用の抑止を実現する加盟店の事例集」として掲載することとしました。詳しくは公開されている附属文書で確認していただきたいですが、抜粋して紹介いたしますと、「好事例加盟店」の共通点として挙げられることは、不正抑止や承認率を向上させるというしっかりとした意志を持って対策に取り組んでいることです。
本年度改訂した附属文書については、この図表の左の欄に黒丸が付いているものとなります。また白丸が付いている文書が新規に追加されたものです。右端の欄に丸が付いているものについては、JCAのホームページにて一般公開されています。
新たな不正の手口も確認され、引き続き
関係各所と連携しながら解決策を検討
次に、当協議会が予定している2026年度の取り組みについてご説明いたします。
2026年度は、改訂を行ったガイドライン【6.1版】に示された指針対策の着実な実施によって、不正利用被害額や不正利用発生率のさらなる低減を推進します。各事業者の皆様には引き続きガイドラインに示された対策の推進をお願いいたします。
一方、新たな課題も明らかになってきています。非対面取引では、カード情報の非保持化を達成しているEC加盟店におけるWebスキミングによるカード情報漏えいや、リアルタイムフィッシングによるクレジットカードの不正利用、データ改ざんによる不正注文など、さまざまな不正が発生しています。これらはAIなど高度なIT技術を利用した組織的な犯罪や、不正なアプリを安易に利用した個人による不正など、新たな手口によるカード情報窃取や不正利用が出現しています。
また、対面取引では、接触・非接触のIC取引にてカードの偽造などは抑止されてきましたが、ここでも高度なIT技術の利用や組織的な手口、運用ルールの隙を突いた不正利用などが出現してきています。また、IC化未対応取引におけるインバウンドの利用疎外も発生しています。
これらの対策の検討にはITなどの専門的な知見が必要であり、また中長期的なシステム投資、運用の整備対応なども必要となる可能性もあります。
2026年度は、それらの課題について、セキュリティ対策の実効性を考慮した将来を見据えたセキュリティ対策対応方針の検討を行うとともに、短期的課題には迅速な対応を進めます。
体制としては、将来を見据えたセキュリティ対策の方向性の検討を行う「セキュリティ対策検討WG」を設置し、中長期的なセキュリティ対策対応方針の検討と取りまとめを行うこととしています。さらに「カード情報保護対策タスクフォース(TF)」および「不正利用対策TF」を設置して、中長期的な対策の対応方針等の検討を行います。各課題については、必要に応じてワークチーム(WT)を組成し、具体的な検討を行います。
「カード情報保護対策TF」では、実効性を考慮した中長期的な脆弱性対策の対応方針の検討を行います。具体的には、カード情報漏えいの現状分析とWebサイトの脆弱性および攻撃手法の分析、脆弱性対策の評価・検討を行います。システムの脆弱性やWebサイトの改ざんやウイルスの混入などによって、Webスキミングなどによるカード情報の窃取が行われています。カート事業者の皆様にも参加いただきながら対策の検討を行う予定です。
「不正利用対策TF」は、対面取引、非対面取引における不正利用対策の中長期的な対策を含む対応方針の検討を行います。対面取引では、無効カードのチェック・有効性の確認や、オーソリ予約・事前承認のIC取引化の方針検討を行います。これによって一部のインバウンド取引における利用阻害のが解決されます。また国際的にはオンラインPINが主流になってきているという状況ですので、国内取引においてオンラインPIN化を行うかどうかの検討を進めます。オンラインPIN化には各事業者のIT投資が必要になる可能性も認識しておりますので、実施有無も含めて検討していくことになります。そのほか、IC関連の課題がいくつか見えてきておりますので、対応が必要なものについては対応方針を検討します。
非対面取引は、先の好事例加盟店おける有効な対策である属性・行動分析に不可欠な不正利用情報の取扱いが課題となっており方針の検討を行います。また、リアルタイムフィッシングへの対策として、パスキーを含む本人認証の高度化方針について検討を行います。
さらに、不正利用は高度化・組織化しているので、附属文書20に記載の対策について、JCAのインフラ整備部会と連携をとりながら対策の効果検証と不正利用対策の更新の検討を進めます。
いずれの課題も重たいものですので、まずは対応を行うか否かの対応方針の検討を行っていきます。以上が2026年度の当協議会の取組内容になります。
基本を押さえることがセキュリティの第一歩
線の考え方に沿って、全方位で不正対策を
ここからはご参考までに、2025年度のガイドライン【6.0版】で追加・変更された指針対策について振返ります。【6.0版】では3点の指針対策の追加と、1点の変更がされました。
追加された1点目は、EC加盟店におけるカード情報保護対策についてです。カード情報保護対策は、カード情報を保持する場合の「PCI DSSの準拠」又は、加盟店が保有する機器・ネットワークにおいてカード情報を「保存」「処理」「通過」のいずれも行わない「非保持化」を有効な対策としています。しかしながら現在の主な情報漏えいは、「非保持化」を実現したEC加盟店において、ユーザーが商品を閲覧・購入するWebサイトや、EC加盟店のシステムの脆弱性対策の不備を突いて外部からの不正アクセスによるシステムの改ざん等によるWebスキミングなどにより、顧客が入力した情報がそのまま窃取されるものとなります。EC加盟店はカード情報の保持または非保持にかかわらず、脆弱性対策に基づく定期点検を行い、点検結果に基づき、追加的な対策を導入するなどの適切な対策を講じることが求められています。ガイドライン【6.0版】では、この脆弱性対策の実施が、新たに盛り込まれました。
対策として、①システム管理画面のアクセス制限と管理者のID/パスワード管理、②データディレクトリの露見に伴う設定不備への対策、③Webアプリケーションの脆弱性対策、④マルウェア対策としてのウイルス対策ソフトの導入、⑤悪質な有効性確認、クレジットマスターへの対策が挙げられ、これらすべての対策を講じることが必要です。特に①~④は、クレジットカード決済の有無に限らずWebサイト運営において基本的なセキュリティ対策ですから、必ず対応いただきたいものです。
また、カード情報を取り扱う業務を外部委託する場合は、PCI DSSに準拠しているなど、必要なセキュリティ対策を講じている事業者を選定すること、委託契約締結後はこれらセキュリティ対策の実施状況を確認することが求められています。
追加の2点目、3点目は、EC加盟店における不正利用対策です。不正アクセス、フィッシングなどによって、カード情報やアカウント、属性情報などが窃取されています。不正犯は窃取した情報を使って本人になりすましクレジットカードの不正利用、カード決済前の場面においては「不正なアカウント登録や不正ログインによる不正利用が行われています。これらを防ぐには「線の考え方」に沿って、決済前/時/後の各場面を考慮した適切な不正対策を実施することが必要です。ガイドライン【6.0版】からは、不正ログイン対策の実施、クレジットカード決済時のEMV 3-Dセキュアの導入という2つの対策を軸に不正利用防止の実効性を高めることが示めされました。
EMV 3-Dセキュアの導入に関しては、原則として決済の都度、3-Dセキュアの認証を行うことが求められています。好事例加盟店のように、3-Dセキュアと合わせて属性・行動分析を導入し、不正抑止とともに承認率向上を実現している加盟店も増えています。
不正ログイン対策は、カード決済前の場面の、会員登録、会員ログイン、会員情報変更の3つの場面があり、それぞれの場面に応じた適切な対策を講じることが大切です。会員登録の場面では不正なアカウント作成、会員ログインや会員情報変更の場面では正規なアカウントにログインし、携帯電話・メール・住所などの改ざんを行うアカウント乗っ取りといった不正が行われています。加盟店においてはご自身の店舗でのスキームにおいてどういった不正が行われる可能性があるかを想定し、各場面を考慮し適切な対策を1つ以上導入していただくことになります。1つ以上とされていますが、複数導入するのが望ましいと考えております。
導入する対策については附属文書20に一覧で記載していいますが、記載の対策と同等以上の効果があるということであれば、ここに記載のない新しい対策を導入していただいてもかまいません。またお問い合わせ等を頂いておりましたので、パスキーは多要素認証、二段階認証のひとつとして明示しております。
不正顕在化加盟店においては再発防止が取り組みの中心になります。再発防止のために何をするのか。新しい対策を追加するのか、それとも従来の対策を強化するのか。たとえば対策基準の閾値を上げるなどの対策を実行していただくということになります。
以上、カード会社、PSP、ソリューションベンダー、カート事業者、Webサイトの構築・運用などを行うECシステム提供会社など、実にさまざまな事業者が関係しているのが、EC加盟店です。EC加盟店だけでは指針対策の実施が難しいという状況もありますので、それぞれの関係事業者が、カード情報保護対策および不正利用対策の内容を理解した上で、対策が具備されたECシステムの構築やソリューション・サービス等の提供と、その維持・管理および対策に必要な助言、情報提供などを行っていただくことが重要なポイントとなります。
ガイドライン【6.1版】は、【6.0版】がベースになっていますので、【6.1版】の理解を深めるために、【6.0版】にて追加・変更された指針対策の振り返りを行いました。皆様には引き続き不正利用の低減を目指しご協力をお願いいたします。
私のお話は以上です。ご清聴ありがとうございました。
