セキュリティガイドライン【6.0版】の改訂ポイントを探る

クレジット取引セキュリティ対策協議会（以下、協議会）は3月4日、第12回本会議を開催し、「クレジットカード・セキュリティガイドライン【6.0版】」（以下、新GL）を取りまとめ、翌5日に公表した。新GLの最大のポイントは、EC加盟店の情報保護対策（漏えい防止）としてEC加盟店のシステム及びウェブサイトの「脆ぜい弱じゃく性対策の実施」を、不正利用対策として「EMV 3-D セキュア（以下、引用部分以外はEMV3DS）の導入」と「不正ログイン対策の実施」を指針対策に追加した点にある。いずれもEC加盟店が実施する対策だが、アクワイアラーやPSPはその必要性を周知したり、導入・運用をサポートしたりすることが求められる。EMV3DSと共に不正ログイン対策を求めたことは、昨年の5.0版が打ち出した「線の考え方」の実践に向け、さらに一歩踏み込んだものといえる。新GLの改訂ポイントを見てみよう。

実務上の指針としてのガイドライン

割賦販売法は加盟店に情報保護対策と不正利用対策を義務付けている。ただ、カード情報の窃取や不正利用の手口は年々複雑化・巧妙化しており、セキュリティ対策自体も絶えず見直していく必要がある。そこで、割賦販売法は「性能規定」の考え方を採用し、法令においてはセキュリティ確保に不可欠な機能のみを定め、その実現手段及び方法については、各事業者が創意工夫して必要かつ適切な措置を講ずることを求める枠組みを導入した。

そして、「必要かつ適切な措置」については、協議会が毎年見直しを行っているGLを「実務上の指針」と位置付けた。つまり、GLに掲げる措置またはそれと同等以上の措置を講じている場合には、必要かつ適切な措置を講じていると認められるわけだ。

EC加盟店に脆弱性対策の実施を求める

今回まとめられた新GLの第一のポイントは、EC加盟店の情報保護対策として、システム及びウェブサイトの「脆弱性対策」の実施を指針対策に追加したことだ。

　これまで、EC加盟店が講ずべき指針対策は、カード情報を保持しない「非保持化」、またはカード情報を保持する場合は「PCI DSS準拠」（以下、PCIDSS準拠）だった。5.0版では、非対面加盟店（EC加盟店）のカード情報保護対策（GL5.2.2.1）として、「a.非保持化」と「b.PCIDSS準拠」が掲げられていた。

　これに対し、新GLには「c.脆弱性対策」が追加された。そこには、「これまでは試行として新規加盟店契約前に、自らEC加盟店の自社システムやWebサイトの『脆弱性対策』を実施し、その状況をカード会社（アクワイアラー）やPSPに申告してきたが、2025年4月以降は既契約加盟店も含めて、『EC加盟店におけるセキュリティ対策　導入ガイド【附属文書20】』（略）の第2部「1・脆弱性対策」に記載の対策を実施する」（新GL34ページ）と記述されている。

　脆弱性対策が第三の指針対策として追加された背景には、EC加盟店のシステムやウェブサイトにおいて「ウイルス対策、管理者の権限の管理、デバイス管理等の『脆弱性対策』の不備を原因としたカード情報の漏えい事案が発生している」実態がある。

また、フィッシングサイトにより「カード情報や会員のログインアカウントなどの窃取も見受けられる」。さらに、クレジットマスターによる被害も続いている。

　こうした実態や可能性を踏まえ、カード情報の漏えい防止対策以前の問題として、EC加盟店としてそもそも講じるべき基本的なセキュリティ対策として、脆弱性対策を求めることとした。EC加盟店として自社のシステムやサイトに対する攻撃から身を守る予防線を構築せよということだ。