2025年3月末までに全EC加盟店は「EMV3-Dセキュア」(3Dセキュア2.0)導入を原則義務化【セキュリティガイドライン改訂まとめ】
クレジット取引セキュリティ対策協議会はこのほど「クレジットカード・セキュリティガイドライン」を改訂、「5.0版」を公表した。ガイドラインでは、2025年3月末までに原則として全EC加盟店で「EMV3-Dセキュア」(3Dセキュア2.0)の導入を求めている。 「3-Dセキュア」は、加盟店、カード発行金融機関、および必要に応じて個人顧客との間でのデータ交換を可能とし、取引がアカウントの正当な所有者によって行われていることを検証できるようにするもの。「3Dセキュア2.0」はライアビリティシフト(チャージバックが発生した場合、カード会社が売り上げ代金を補償する仕組み)が適用される。
一般社団法人日本クレジット協会が実施しているクレジットカード発行不正利用被害実態調査によると、2023年の不正利用被害額は前年比23.9%増の540億9000万円。不正利用被害額のうち、ECなどの非対面取引が主となる「番号盗用被害額」は、同22.6%増の504億7000万円に達した。不正アクセスやフィッシングなどによりクレジットカード情報や静的(固定)パスワードが窃取され、コード決済のチャージやEC加盟店での決済で悪用されていることが考えられており、こうした状況を鑑み、クレジットカード情報の窃取及び不正利用を防止を目的に改訂版を取りまとめた。
改訂版では2025年3月末までに原則として全EC加盟店で「EMV3-Dセキュア」(3Dセキュア2.0)の導入を求める旨が盛り込まれた。EC加盟店側の考え方、カード発行会社(イシュアー)における目標設定や決済代行会社(PSP)やアクワイアラーにおけるEC加盟店への導入優先順位の考え方などが記載されている。
EC加盟店向けに「EMV3-Dセキュア」(3Dセキュア2.0)の導入計画を策定し、早期の導入着手を基本的な考え方として記載。加えて、3か月連続で50万円以上の不正被害の受けたことがあるEC加盟店は「不正顕在化加盟店」として、即時導入に着手することを求める。