経済産業省 クレジットカード・セキュリティガイドライン 5.0版 (2024.03.15)

こんにちは、丸山満彦です。

経済産業省が、「クレジットカード・セキュリティガイドライン」を改訂していますね...5.0版となりました...

「クレジットカード・セキュリティガイドライン」は、割賦販売法に規定するセキュリティ対策義務の「実務上の指針」として位置づけられていますね...

ということで、

対象事業者は、クレジットカード会社、加盟店、PSP^※1等のクレジットカード決済に関係する事業者で、

対象情報等は、クレジットカード情報で、

その漏えい及び不正利用防止のための情報セキュリティ対策

が記載されていますね。。。

 

● 経済産業省 

・2024.03.15 「クレジットカード・セキュリティガイドライン」が改訂されました

 

 

主な改訂内容

---

（1）クレジットカード情報保護対策

• 2025年4月以降、全てのEC加盟店は、「セキュリティ・チェックリスト」記載のぜい弱性対策等のセキュリティ対策を実施することを求める。
• アクワイアラー^※2・PSPは、EC加盟店に対して「セキュリティ・チェックリスト」に記載されているセキュリティ対策を実施する必要性を周知する。

※2 クレジットカード加盟店を開拓し、加盟店契約を締結する事業者。

（2）不正利用対策

• 2025年3月末までの、原則全てのEC加盟店におけるEMV 3-Dセキュア導入に向けて、EC加盟店、アクワイラー・PSP、イシュアー^※3それぞれの取組を記載
  

  1．EC加盟店

  ・EC加盟店は、EMV 3-Dセキュアの導入計画を策定し、早期の導入に着手する。
  ・不正利用が多発している加盟店は、EMV 3-Dセキュアの即時導入に着手する。
  

  2．アクワイアラー・PSP

  ・不正利用が多発している加盟店のEMV 3-Dセキュアの即時導入着手など、不正利用発生リスクに応じた2025年3月末までのEMV 3-Dセキュアの導入計画の策定及び導入を働きかける。
  ・EC加盟店と新規に加盟店契約する際は、2025年3月末までにEMV 3-Dセキュアを導入することを説明した上で契約する。
  

  3．イシュアー

  ・自社カード会員に対してEMV 3-Dセキュアの登録を強く推進するための取組を行い、2025年3月末時点においてEC利用会員ベースで80％のEMV 3-Dセキュア登録を目指す。
  ・2025年3月末時点でEMV 3-Dセキュア登録会員ベースで100％の「静的（固定）パスワード」以外の認証方法への移行を目指す。

※3 クレジットカードを発行する事業者。

---

 

・[PDF] クレジットカード・セキュリティガイドライン［5.0版］（公表版）

 

・[PDF] クレジットカード・セキュリティガイドライン［5.0版］（改訂ポイント）

 

参考...

● 日本クレジット協会 - クレジット取引セキュリティ対策協議会

 

そういえば、昔、クレジットカードのブランドごとにセキュリティ基準がありましたね。。。VISAはVISA、MasterはMaseter、JCBはJCB、AmexはAmex...

で、それを進んでいたVISAとMasterが一緒にしようということで、他のクレジットカードのブランド会社と協力してPCIができましたね。。。そのその普及ということで、ISMSと連携して普及させようということで、JIPDECで、

・2009.03.31 [PDF] クレジット産業向け”PCI DSS”／ISMSユーザーズガイド

をつくりましたね...

 

---

 

関連

● まるちゃんの情報セキュリティ気まぐれ日記

・2023.03.16 経済産業省 クレジットカード・セキュリティガイドライン【4.0版】

・2022.04.01 PCI Data Security Standard v4.0

遡りますが...

・2011.03.26 経済産業省 国内外の電子決済のセキュリティに関する報告書

・2010.10.30 PCI Security Standards Council Releases PCI DSS 2.0 and PA-DSS 2.0

・2009.10.13 JIPDEC クレジット加盟店向け“情報セキュリティのためのガイド”（PCI DSS／ISMS準拠のためのガイド）を公開

・2009.03.28 「国際情報セキュリティ調査2008」報告 CIO Magazine + PwC

 

---

 

まったく蛇足ですが、情報セキュリティとサイバーセキュリティの関係はどうなっているのか、割と昔から議論になることが多いですよね。。。

情報セキュリティを過去からやっていた人は、情報セキュリティはない微雨不正対策等も含むので、サイバーセキュリティは情報セキュリティのサブセットだ...みたいな話をするし、

サイバーセキュリティを中心に考えている人は、サイバーセキュリティは情報セキュリティよりももっと広い概念だ...みたいな話をすることがあります。

かつての、システム監査とセキュリティ監査はどっちが大きな概念か？みたいな話と似ているのですが、システム監査と情報セキュリティ監査と同じで、ベン図であらわすと↓な感じですかね...

 

明確な定義があるわけではないのですが...

情報セキュリティは文字通り、情報（及びそれを取り扱うもの）を安全にするものという考え方で、情報（およびそれを取り扱うもの）が中心となるような感じでしょうかね。。。なので、組織が経営資源の一つして情報をとらえるとするならば、情報セキュリティというのは組織にとってマネジメントすべきこととなりますよね。。。まさにISMSが情報セキュリティマネジメントということになっていますよね。。。各組織におけるクレジットカード情報の保護という意味では情報セキュリティというのが馴染みますよね。。。

サイバーセキュリティというのは、フィジカル空間と対比したサイバー空間（端的にいえば、インターネットで繋がったもので影響される空間）の安全ということですかね。。。サイバー空間には、公共空間的な部分も多いので、政府が政策を考える場合は、サイバーセッキュリティというのは馴染みますね。たとえば、社会におけるSNSを利用した偽情報対策というのは、サイバーセキュリティの一つと考えることもできますよね。。。（情報セキュリティ対策という感じではないですよね...）。クレジットカード情報であっても、サイバー空間でどのようにクレジットカード情報を安全にやりとりできるようにすべきか？という話であれば、サイバーセキュリティの問題と考えることができますよね。。。

 

---