日本クレジット協会、24年のクレジットカード不正利用被害は555億円超、セキュリティガイドラインも改訂

一般社団法人日本クレジット協会（本部東京都、山本豊会長）は3月4日、クレジットカード取引に関わる事業者が実施すべきセキュリティー対策を定めた「クレジットカード・セキュリティガイドライン」の改訂版を取りまとめた。EC加盟店に対して、これまで実施してきたセキュリティー対策に加え、システムやウェブサイトの脆弱性対策を実施することを求める。

同協会が3月7日に公開した2024年10～12月のクレジットカード不正利用被害額は、7～9月と比較して22.3％増の162億3000万円だった。2024年1～12月だと前年比2.6％増の555億円だった。

EC加盟店のウェブサイトの脆弱性をついた不正アクセスなどにより、クレジットカード利用時の不正利用の被害が依然として高い水準で推移していることを受け、「クレジットカード・セキュリティガイドライン6.0」を取りまとめた。

改訂版では、カード情報保護対策の指針対策として、EC加盟店のシステムやウェブサイトの脆弱性対策の実施を追加した。


▲主な改定のポイント

具体的には、①システム管理画面のアクセス制限と管理者のIDやパスワード管理②データディレクトリの露見に伴う設定不備への対策③ウェブアプリケーションの脆弱性対策④マルウェア対策としてのウイルス対策ソフトの導入と運用⑤悪質な有効性確認、クレジットマスターへの対策――の全ての対応を求めている。

改訂前の「クレジットカード・セキュリティガイドライン5.0」では、2025年3月末までに、原則全てのEC加盟店でクレジットカードの不正利用を防止する「EMV3-DS（3Dセキュア2.0）」の導入を求めている。改訂版では、3Dセキュア2.0の導入を不正利用対策への指針対策として、追加で明記したという。

不正顕在化加盟店と高リスク商材取扱加盟店の定義に変更はないが、不正利用の被害状況や手口に応じた対策の追加導入か対策の強化を求めることを追記した。