(一社)日本クレジット協会(JCA、事務局東京都)は3月5日、既存のガイドラインを改定し、「クレジットカード・セキュリティガイドライン6.0(以下新ガイドライン)」を公表した。新ガイドラインでは、25年3月末までに全てのECサイトが導入を求められている「EMV3―DS(3Dセキュア2・0)」について、具体的な運用方法を示している。要件を満たせば、「EMV3―DS」の本人認証の出し分けも可能になる。「EMV3―DS」の運用に詳しい、スクデットの関隆進取締役は、「基本的には新規のクレジットカード決済は、全件を『EMV3―DS』に通す必要がある」と話す。
■認証を掛けるのは初回のみ
─新ガイドラインのポイントを聞きたい。
「EC加盟店のシステム及びWebサイトの『脆弱(ぜいじゃく)性対策』」が盛り込まれた点と、「EMV3―Dセキュアの導入」について具体的な内容が盛り込まれた点がポイントだ。不正利用対策の指針として、「不正ログイン対策」が盛り込まれたことも大きい。
中でも注目すべきポイントは、「EMV3―DS」の運用方法が示されたことだ。「原則として決済の都度、EMV3―Dセキュアによる認証の実施」と書かれている。これは、基本的にすべての新規のクレジットカード決済の注文について、「EMV3―DS」を通すということだ。
一方で、一部の注文については、「EMV3―DS」を通さなくて済む旨と、その運用方法が示されている。
新ガイドラインには「加盟店がEMV3―Dセキュア以外に講じる不正利用対策の内容や抑止効果に応じて、カード番号の登録時にEMV3―Dセキュアによる認証を行う運用や加盟店のリスク判断によりEMV3―Dセキュアによる認証を行う運用も認められる」とも記載している。
これは、昨年JCAの会員社向けに示された「EMV3―DS」の運用ガイダンスに示されたのと同じ内容だ。この前段では、ユーザーがECサイトの初回利用時にクレジットカード番号を登録して、2回目以降も同じカードを使う場合、「EMV3―DS」を通すのは初回だけでよいということが示されている。
■中小企業には高いハードル
後段は、不正利用対策の条件を満たしていれば、加盟店がリスクを判断して、どの注文を「EMV3―DS」に通すか判断できるということを意味している。
(続きは、「日本ネット経済新聞」3月20日号で)
【専門家が解説!クレジットカードセキュリティガイドライン6.0】新規のカード決済は全件3DS通す/条件満たせば本人認証の出し分けも可能(2025年3月20日号)
記事は取材・執筆時の情報で、現在は異なる場合があります。