経産省は3月14日に開催した「クレジット取引セキュリティ対策協議会第10回本会議」において、クレジットカード取引に関わる事業者による対策を定めた「クレジットカード・セキュリティガイドライン」を改訂した。
クレカ情報保護対策として、EC加盟店による非保持またはPCSDSS(データセキュリティの国際基準)の準拠、新規加盟店の契約申し込み前に、自らでECサイトの対策を実施することとした。
契約申し込みの際に、アクワイアラー(クレカ加盟店の開拓や加盟店契約を締結する事業者)、PSP(ネット取引においてEC加盟店にクレカ決済のスキームを提供し、カード情報を処理する事業者)に、脆弱性対策などの対策の実施状況を記載した申告書を提出する。
アクワイアラーやPSPは、EC加盟店に対して、新規の加盟店契約の申し込みの際に、EC加盟店自らのセキュリティ対策の実施と申告を求め、セキュリティ対策の実施状況を確認することとした。
不正利用対策では原則、全てのEC加盟店に2025年3月末までに、EMV3‐Dセキュア(リスクベース認証やワンタイムパスワードの機能を搭載した世界基準の本人認証の仕組み)の導入を求める。
クレカを発行する事業者は、EMV3‐Dセキュアの本人認証方法として「静的(固定)パスワード」から「動的(ワンタイム)パスワード」などへの移行環境を整え、2025年3月末までに自社のカード会員が「動的(ワンタイム)パスワード」などに登録・移行するように取り組む。
また、アクワイアラーやPSPは2025年3月末までに、全てのEC加盟店がEMV3‐Dセキュアの導入を計画的に進められるように支援する。不正顕在化加盟店(アクワイアラー各社が把握する不正利用金額が3カ月連続で50万円を超えているEC加盟店)に対して、早期にEMV3‐Dセキュアを導入するように働きかけていくこととした。
