クレジットカードを巡る不正利用被害が年々深刻化するなか、経済産業省を中心とした「クレジット取引セキュリティ対策協議会」は、2025年3月に『クレジットカード・セキュリティガイドライン』の最新版となる「6.0版」を公表しました。
本記事では、6.0版で新たに示された主な改訂ポイントと、それに対してEC事業者がどのように対応すべきかを分かりやすく解説します。
1. クレジット・セキュリティガイドライン6.0版の主な改訂ポイント
ガイドライン改訂に至った経緯
2023年、クレジットカードの不正利用被害額は541億円に達し、そのうち約9割がECサイトにおける「なりすまし」などの非対面取引で発生しています。
特にログイン情報の乗っ取りや、不正登録による購入行為など、カード番号以外の経路からの被害が急増しており、従来の対策では対応が追いつかない状況となっていました。
従来は、「カード情報を保存しない(非保持化)」、または「保存する場合はPCI DSS準拠」という国際的な基準に従うことで、一定のセキュリティが担保されていました。
しかし、攻撃の手法が日々巧妙化するなか、こうした基本対策だけでは十分とは言えなくなってきています。
これを受けて6.0版では、ECサイト自体の安全性を高めるために、管理画面のアクセス制限、Webアプリケーションの脆弱性対策、ウイルス対策ソフトの導入など、具体的な技術的対策が新たに指針として盛り込まれました。
不正利用対策の目指す「線の考え方」
クレジットカード・セキュリティガイドライン6.0版では、不正利用対策の考え方として「線の考え方」が改めて強調されています。
従来から示されていたこの方針に対し、6.0版ではより具体的・実践的な指針が追加された形となり、実務レベルでの対応が明確になりました。
これまでは「決済時の本人確認」を中心とした対策が主流でしたが、6.0版では決済前・決済時・決済後という一連のフロー全体を通じて不正を防止する、包括的・多層的なセキュリティ対策の必要性が明示されています。
特に、決済前の「不正ログイン対策の実施」と、決済時の「EMV 3-Dセキュアの導入」は、EC加盟店に求められる重点施策として位置づけられており、取引の早い段階からセキュリティの線を引くための重要な柱とされています。
とりわけ決済前には、「会員登録」「ログイン」「属性変更」といった各操作にも不正のリスクが潜んでおり、初期段階での対策を通じて被害の未然防止を図るアプローチが求められています。
2. 決済前のセキュリティ強化ポイント
不正ログイン対策の導入が“義務化”された背景
クレジット・セキュリティガイドライン6.0版では、「会員登録」「ログイン」「属性変更」などの操作において、第三者による不正アクセスを防ぐための対策が新たに明記されました。
とりわけ「不正ログイン対策の実施」は、従来の推奨事項から義務レベルの指針へと明確に格上げされています。
背景には、ID・パスワードの流出や使い回しを狙った「リスト型攻撃」、アカウントを乗っ取って配送先を変更する手口など、決済前を狙う攻撃が急増している現状があります。
これにより、決済情報を守るには、より早い段階からのセキュリティ強化が不可欠となったのです。
なかでも不正利用が多発している加盟店や、ブランド品・電子チケットなどの高リスク商材を扱うEC事業者では、多要素認証や行動分析といった、より高度な不正ログイン対策の導入が強く求められています。
有効な対策一覧と導入シーン別のポイント
クレジット・セキュリティガイドライン6.0版では、不正ログインへの対応として複数の技術的対策を挙げており、それぞれの対策がどの場面で効果を発揮するのかを意識した導入が重要とされています。
以下に、代表的な対策とその活用シーンを整理して紹介します:
- 不審なIPアドレスの制限:常時の異常接続を遮断
- 2段階認証・多要素認証(MFA):ログイン・属性変更時の本人確認
- 会員登録時の個人情報確認:不正登録の防止
- ログイン試行回数の制限:リスト型攻撃の抑止
- ログイン・属性変更時の通知:利用者による異常検知
- 属性・行動分析による異常検知:通常行動との乖離を識別
- デバイスフィンガープリントの活用:端末情報に基づく識別
すべてを一度に導入する必要はありませんが、自社のリスク状況やユーザー導線に応じて、適切な対策を講じることが求められます。
義務対応と離脱防止を両立する、ユーザビリティ面の課題
セキュリティ対策の強化に伴い、実務現場では「認証が煩雑すぎるとユーザーが離脱する」という課題にも直面しています。
特にログインや会員登録時に複数の認証ステップを求めると、体験が損なわれ、結果的にコンバージョン率の低下につながる可能性があります。
たとえばスマートフォンを利用した2段階認証では、OSやブラウザのバージョン差による互換性の問題でログインができず、離脱に至るケースもあります。
また、高齢のユーザーやITに不慣れな層にとっては、手順の多さそのものが心理的負担になることも少なくありません。
さらに認証アプリの登録端末を紛失したり、ログイン情報を記録していない場合には、本人であってもアクセスできなくなるリスクが生じます。
こうした背景を踏まえ、セキュリティと利便性のバランスをとった認証設計が、現場レベルではますます重要になっています。
3. Infront Securityが提供する対策ソリューション
電話番号と端末認証を組み合わせた本人確認により、高い安全性を確保
不正ログイン対策として注目されているのが、Infront Securityが提供する「電話番号と端末認証の組み合わせ」による認証方式です。
IDやパスワード、ワンタイムパスコードに頼る従来型の対策とは異なり、登録済みの電話番号と利用端末を紐づける特許技術によって、万が一電話番号が漏洩しても、登録端末以外からのアクセスを遮断し、なりすましのリスクを大幅に抑制します。
この認証方式は、ログイン、会員登録、決済、ポイント連携など、幅広いユーザー操作に対応可能な柔軟性を備えており、クレジット・セキュリティガイドライン6.0版が提唱する「線の考え方」とも合致しています。
チャレンジ率を抑えてCV率を守る、直感的な認証体験
Infront Securityの認証方式は、セキュリティと利便性の両立に加え、ユーザー体験(UX)にも徹底的に配慮された設計が特長です。
初期設定で専用アプリのダウンロードは不要。画面に表示された電話番号にワンタップで発信するだけで認証が進み、自動的に通話が終了します。
スマートフォンだけでなく固定電話にも対応しており、幅広いユーザー層にもスムーズに対応可能です。
特に、EMV 3-Dセキュアで問題視されているチャレンジ発生率(ワンタイムパスワード等の追加認証)を、事前の本人認証により大幅に低減できる点は大きな特長です。
これにより、決済フロー内でユーザーが途中離脱するリスクを抑え、CV率の維持に貢献します。
さらに一度認証された端末やブラウザでは、2回目以降は裏側で自動的に認証が完了するため、ユーザーはパスワードの記憶やSMSコードの入力といった、煩雑な手間を一切かけることなくログインが可能です。
このように、ユーザーの負担を最小限に抑えつつ、3Dセキュアのセキュリティ要件にも対応し、CV率と不正対策の両立を実現しています。
大手企業での導入実績に裏打ちされた信頼性
Infront Securityはすでに多くの大手企業で導入されており、その効果も実証されています。
たとえば基礎化粧品ブランド「ドモホルンリンクル」では、ログイン時の認証にInfront Securityを導入したことで、高齢者や自宅固定電話を利用するユーザーでもスムーズに認証ができるようになり、パスワード忘れによる問い合わせも減少しました。
結果として、コールセンターの負荷軽減やCV率の向上といった効果が確認されています。
また、フードデリバリーサービス「出前館」では、音声通話可能な電話番号に認証を限定することで、不正な複数アカウント作成や初回キャンペーンの不正利用を、従来の数十%から1%以下に大幅削減しています。
こうした導入実績はInfront Securityが単なる技術提供にとどまらず、実運用の現場でも高い信頼性と効果を発揮していることを裏付けています。
