2025年3月末までに全EC加盟店は「EMV3-Dセキュア」（3Dセキュア2.0）導入を原則義務化【セキュリティガイドライン改訂まとめ】

現在地

「クレジットカード・セキュリティガイドライン」が改訂され、2025年3月末までに原則として全EC加盟店でワンタイムパスワードなどの動的認証が必要な「EMV3-Dセキュア」（3Dセキュア2.0）の導入を原則義務化。不正被害が顕在化している加盟店については即時の導入着手を求めている

鳥栖剛[執筆] 5/29 7:00 2 2 0

クレジット取引セキュリティ対策協議会はこのほど「クレジットカード・セキュリティガイドライン」を改訂、「5.0版」を公表した。ガイドラインでは、2025年3月末までに原則として全EC加盟店で「EMV3-Dセキュア」（3Dセキュア2.0）の導入を求めている。

「3-Dセキュア」は、加盟店、カード発行金融機関、および必要に応じて個人顧客との間でのデータ交換を可能とし、取引がアカウントの正当な所有者によって行われていることを検証できるようにするもの。「3Dセキュア2.0」はライアビリティシフト（チャージバックが発生した場合、カード会社が売り上げ代金を補償する仕組み）が適用される。

一般社団法人日本クレジット協会が実施しているクレジットカード発行不正利用被害実態調査によると、2023年の不正利用被害額は前年比23.9%増の540億9000万円。不正利用被害額のうち、ECなどの非対面取引が主となる「番号盗用被害額」は、同22.6%増の504億7000万円に達した。不正アクセスやフィッシングなどによりクレジットカード情報や静的（固定）パスワードが窃取され、コード決済のチャージやEC加盟店での決済で悪用されていることが考えられており、こうした状況を鑑み、クレジットカード情報の窃取及び不正利用を防止を目的に改訂版を取りまとめた。

クレジットカード不正利用被害の発生状況　一般社団法人日本クレジット協会が実施しているクレジットカード発行不正利用被害実態調査 — クレジットカード不正利用被害の発生状況

改訂版では2025年3月末までに原則として全EC加盟店で「EMV3-Dセキュア」（3Dセキュア2.0）の導入を求める旨が盛り込まれた。EC加盟店側の考え方、カード発行会社（イシュアー）における目標設定や決済代行会社（PSP）やアクワイアラーにおけるEC加盟店への導入優先順位の考え方などが記載されている。

2025年3月末までに全EC加盟店は「EMV3-Dセキュア」（3Dセキュア2.0）導入を原則義務化【セキュリティガイドライン改訂まとめ】 — ガイドラインの改訂ポイント（画像は公表資料から編集部がキャプチャ）

EC加盟店向けに「EMV3-Dセキュア」（3Dセキュア2.0）の導入計画を策定し、早期の導入着手を基本的な考え方として記載。加えて、3か月連続で50万円以上の不正被害の受けたことがあるEC加盟店は「不正顕在化加盟店」として、即時導入に着手することを求める。

またカード発行会社におけるリスクベース認証の精度向上に向け、取扱商材や不正発生状況などを踏まえ、カード会員のデバイス情報等の情報をより多くカード発行会社に提供できるよう、データ項目の設定といった体制を整えることもEC加盟店に求めている。

決済代行会社（Payment Service Provider、PSP）やカード会社（アクワイアラー）向けには、全EC加盟店の「EMV3-Dセキュア」（3Dセキュア2.0）導入推進に向けた働きかけを呼びかけている。「不正顕在化加盟店」に対する即時導入着手の働きかけのほか、優先順位として、

「不正顕在化加盟店」ではないが不正が発生しているEC加盟店
「高リスク商材取扱加盟店」
上記以外の加盟店

の順に早期の導入着手を働きかけるよう求めるほか、新規にEC加盟店と契約する場合は、202年3月末までの「EMV3-Dセキュア」（3Dセキュア2.0）導入を説明した上での契約を求めている。

また、ガイドラインではEC加盟店におけるカード報保護対策と不正利用対策についても強化を要求している。

EC加盟店は基本的な考えとして「ECサイトの脆弱性対策」「ウイルス対策」「管理者権限の管理」「デバイス管理」など常にセキュリティ対策を講じ、カード情報の漏えいやアカウント情報の窃取を防ぐ必要があると改めて説明している。

2022年10月からは、EC加盟店が新規加盟店契約を行う際はガイドラインの付属文書である「セキュリティ・チェックリスト」記載の対策を実施し、その状況をアクワイアラーやPSPに申告、アクワイアラーやPSPはEC加盟店からの申告を受けた上で加盟店契約を締結することを要求。さらに、上記のセキュリティ対策の実施は、2025年4月から新規のみだけではなく全EC加盟店に対して求める。

アクワイアラーやPSPに対しては、「セキュリティ・チェックリスト」に記載されているセキュリティ対策を実施する必要性の周知を行うよう要求している。

ガイドラインでは今後の不正利用対策として点ではなく線の考え方が必要とし、「カード決済前」「カード決済時」「カード決済後」を考慮した場面ごとの対策導入の運用検討が必要であると説明。今回の改定で全EC加盟店への導入を求める「EMV3-Dセキュア」（3Dセキュア2.0）は「カード決済時」の不正利用対策にあたる。

今後は「EMV3-Dセキュア」（3Dセキュア2.0）を対策の軸としながら、フィッシング被害を抑止する「カード決済前」の対策や商品の配送が伴う場合の「カード決済後」の対策も加えた詳細運用を今後検討していく。

2025年3月末までにECサイトに導入が義務化される「3Dセキュア2.0」（EMV 3-Dセキュア）など、ECサイトにおける「安心・安全」「買いやすい環境作り」は重要性が増しています。ネッ担編集部が主催するECイベント「ネットショップ担当者フォーラム 2024 春～eコマースコミュニケーションDay～」（5月28日＋29日）の2日目では、EC企業が抱えるセキュリティ、決済などの課題を解決に導くセッションをご用意しています。ぜひイベントサイトをチェックしてください。