セキュリティガイドライン【6.0版】の改訂ポイントを探る

附属文書20に必要な脆弱性対策を明示

ただし、GLが脆弱性対策に言及したのは、今回が初めてではない。5.0版では指針対策とは別に「基本的なセキュリティ対策」の項を設け、「サイトの脆弱性対策、ウイルス対策、管理者権限の管理、デバイス管理等の基本的なセキュリティ対策」は「カード情報の保持又は非保持にかかわらず必要なもの」との認識を示していた。

その上で、ECサイトがカード加盟店になろうとする際は、「『セキュリティ・チェックリスト（略）』記載の対策を実施し、その状況をアクワイアラーやPSPに申告、アクワイアラーやPSPはEC加盟店からの申告を受けた上で加盟店契約を締結することが求められる。（試行）」（31ページ）としていた。加えて、「2025年4月から、新規のみならず全てのEC加盟店に対して求めることとしている」点にも触れていた。

5.0版が脆弱性対策に言及したのは、経済産業省が23年1月に取りまとめた「クレジットカード決済システムのセキュリティ対策強化検討会報告書」（以下、報告書）を踏まえたものだ。報告書は、EC加盟店のシステム、ECサイト自体の脆弱性対策を24年度末までに必須とする方針を打ち出していた。

新GLはその期限が到来したことを踏まえ、脆弱性対策をあらためて指針対策の一つとして追加したといえる。

新GLは求められる脆弱性対策が何であるかも具体的に示した（図表1）。より詳しい内容は、新GLと同時に改定された附属文書20「EC加盟店におけるセキュリティ対策導入ガイド2.0版」（以下、付属文書20）に紹介されている。

既存EC加盟店にも脆弱性対策を求める

EC加盟店の指針対策に脆弱性対策が加わったことにより、アクワイアラーとPSPにも新たな対策が求められることになった。それは、附属文書20を活用して、「カード情報保護対策について必要な助言や情報提供、サポート等を行う」（50、56ページ）ことだ。

また、25年4月以降、「既契約EC加盟店も含めて『脆弱性対策』の実施を求める」必要もある。対策の必要性の周知も行うこととされた。アクワイアラーとPSPは定期的な加盟店調査を通じて、既存加盟店に対策状況の申告を求め、脆弱性対策が実施されているかを確認する必要が生じる。

ECシステム提供会社やソリューションベンダーは、「『対策が具備されたECシステムの構築やソリューションの提供』とその維持・管理等を行うとともに、対策に必要な助言や情報提供等を行う」（62ページ）ことが要請された。