■ EC 事業者が今、向き合うべき「クレジットカード不正利用」への対応とは？

昨今、サイバー攻撃の増加が著しく、特に EC 業界ではクレジットカード番号の盗用による「なりすまし被害」が深刻化しています。
2024 年におけるクレジットカード不正利用被害額は過去最高の 555 億円に達し、業界全体に対して早急な対策が求められています。
こうした背景を受け、最新の『クレジットカード・セキュリティガイドライン［6.0版］』が策定され、EC 事業者に求められる対策の重要性が一層高まっています。

本セミナーでは日本クレジット協会や警察庁をはじめとする関係機関が登壇し、ガイドラインの要点や実践的な対策について解説が行われました。
また、セキュリティ専門家によるパネルディスカッションでは EC 事業者が特に注意すべき「5 大脅威」への具体的な対応策が紹介されました。

プログラム

• 講演 ①：日本クレジット協会
  　最新の『クレジットカード・セキュリティガイドライン［6.0版］』の改定ポイントを中心に解説

• 講演 ②：警察庁
  　キャッシュレス社会の安全・安心の確保に向けた取組について

• 講演 ③：カメラのキタムラ
  　EC 事業者における不正対策事例

• パネルディスカッション：サイバーセキュリティ連盟
  　EC 事業者必見！2024 年の不正トレンド & EC 事業者 5 大脅威にどう備える？

■ 最新の『クレジットカード・セキュリティガイドライン［6.0版］』の改定ポイントを中心に解説

一般社団法人日本クレジット協会
業務部 エグゼクティブフェロー
島貫 和久 氏

島貫氏からは不正利用被害が過去最高額に達している現状を踏まえ、業界全体として対策強化が急務であるとの認識が示されました。
その上でクレジット取引セキュリティ対策協議会が 2025 年 3 月に策定した『クレジットカード・セキュリティガイドライン［6.0版］』の目的と背景について解説が行われました。
特に EC 加盟店に求められる対策として EMV 3-D セキュアの導入、Web サイトの脆弱性対策、不正ログイン防止策の実施が強調されました。

実務の現場では「何から着手すればよいかわからない」という声も多い中、
同協議会では加盟店調査に向けた具体的な指針を提示しており、まずはガイドラインを正しく理解することが第一歩であると呼びかけられました。

一般社団法人日本クレジット協会
セキュリティ対策統括マネージャー
中村 裕成 氏

中村氏からは『クレジットカード・セキュリティガイドライン［6.0版］』の具体的な改定内容について、技術的な観点から詳細な説明が行われました。
今回の改定では特に EC 加盟店に対する対策強化が主軸となっており、カード情報漏えい防止に向けた Web サイトの脆弱性対策が明文化されました。
これは非保持型の加盟店であってもシステム設定の不備により情報漏えいが発生している実態を踏まえたものであり、外部委託先を含めた管理体制の見直しが不可欠であると指摘されました。

また本人認証の強化策として EMV 3-D セキュアの導入および適切なログイン対策の実施が新たな要件として追加されたことが紹介されました。
これらの取り組みは「Web サイトの利用から商品受け渡しまでの全行程で対策を講じる」という「線の概念」に基づくものであり、EC  事業者には段階的かつ実効性のある対応が求められています。
更にガイドラインでは消費者への啓発活動の重要性も強調されており、関係事業者が連携することで、より安全なクレジットカード取引環境の構築を目指していることが示されました。

■ キャッシュレス社会の安全・安心の確保に向けた取組について

警察庁
サイバー警察局 サイバー企画課
サイバー事案防止対策室長
根本 農史 氏

警察庁からはキャッシュレス社会における最新の被害動向と、官民連携による対策の取り組みが紹介されました。
具体的には、クレジットカード不正利用及びインターネットバンキングに係る不正送金の被害が極めて深刻化している状況を受け「キャッシュレス社会の安全・安心の確保に向けた検討会」を 2023 年に設置。
委員からの提言を踏まえ、送信ドメイン認証技術（DMARC）の導入促進、フィッシングサイトのテイクダウン促進、パスワードレス認証（Passkey）の普及などを進めています。
更に生成 AI を活用したフィッシングサイトの自動判定技術の導入についても検討が進められていることが紹介されました。

また EC 加盟店との連携強化にも取り組んでおり、不正取引情報を警察へ提供する体制について、個人情報保護との両立を図りながら整備を進めているとの説明がありました。
クレジットカード番号の悪用防止に関しては、都道府県警察からの情報を警察庁が集約し、国際ブランド各社へ一括提供する新たな仕組みを構築。
これにより迅速な利用停止が可能となり、被害拡大の抑止が期待されています。

■ 不正対策事例

株式会社カメラのキタムラ
執行役員 EC事業部長
兼 コンタクトセンター部 管掌
伊東 政之 氏

伊東氏からは高額かつ換金性の高い商品を取り扱う EC サイトにおける、実践的な不正利用対策の取り組みが紹介されました。
従来は目視確認や自社データベースを活用した手動チェックが中心でしたが、対応件数の増加に伴い、人的負荷の増大や確認精度の維持が課題となっていました。

こうした課題を受け、同社では AI・機械学習を活用した不正検知サービスを導入。
不正注文の自動判定を行う仕組みを構築することで、出荷遅延の削減と業務効率の大幅な改善を実現したと報告されました。
また、同サービスは自社 EC サイトに留まらず、外部モール経由の注文にも適用されており、転売目的の大量注文や突発的な不正行為にも柔軟に対応できているとのことです。
これにより、クレジットカード不正利用対策と転売対策の双方において効果を発揮していると説明されました。

更に株式会社ジェーシービーが提供する『MATTE』*を導入することで決済後の不正検知体制も強化しています。
今後は本人認証の更なる強化や海外カード対策、物流事業者との連携も視野に入れ、UX とセキュリティを両立させた総合的な不正対策を推進していく方針が示されました。

* MATTE：第三者利用が判明した不正取引について、加盟店・カード発行会社間での配送停止依頼や不審な利用が発生した際のカード会員属性情報の確認依頼を Web 上で連携するサービス。

■ パネルディスカッション：EC 事業者必見！2024 年の不正トレンド & EC 事業者 5 大脅威にどう備える？

パネルディスカッションでは「EC 事業者必見！2024 年の不正トレンドと脅威への備え」をテーマに、
株式会社サイバーセキュリティクラウドの西澤 将人氏、株式会社イーシーキューブの梶原 直樹氏、かっこ株式会社の小野瀬 まい氏が登壇。
EC 事業者が直面する現場の課題と実践的かつ現実的な対策について議論が交わされました。

西澤氏は EC サイトを複数の部品から構成される「建物」に例え、いずれかの脆弱性を放置することで、不正アクセスや情報漏えいにつながるリスクを指摘しました。
その上で Web アプリケーションファイアウォール（WAF）の導入や、定期的な脆弱性診断の実施が有効であると述べました。

梶原氏は自社構築型 EC サイトが増加する中で、セキュリティ対応を自社だけで完結させることの難しさに触れ、構築段階から専門事業者と連携する重要性を強調しました。
また初期構築だけでなく、運用フェーズにおける継続的なサポートの必要性についても言及しました。

小野瀬氏はアカウント乗っ取りや闇バイトを悪用した詐欺行為が年々巧妙化している現状を紹介。
決済前・決済時・決済後という一連の流れを「線」として捉え、各フェーズで重層的に対策を講じることが重要であると訴えました。

ディスカッションの締めくくりとして、登壇者からは、各社・各サイトのリスク特性に応じた対策を選択・実行すると共に、
チェックシート等を活用した定期的な見直しの重要性が強調されました。

■ 一般社団法人サイバーセキュリティ連盟について

名称：一般社団法人サイバーセキュリティ連盟（Cyber Security Alliance・CSA）
代表理事：小池 敏弘（株式会社サイバーセキュリティクラウド　代表取締役社長 兼 CEO）
理事：小川 隆一（独立行政法人情報処理推進機構　専門委員）
理事：齋藤 孝道（明治大学 サイバーセキュリティ研究所　所長）
所在地：〒141-0021 東京都品川区上大崎3-1-1 JR東急目黒ビル13階
設立：2023年3月31日
URL：https://www.cscloud.co.jp/dx-security

Vision：サイバー攻撃による「深刻な被害」をゼロに
Mission：日本のDXをもっと安全に
Values：
– Interested parties oriented：当事者中心で動かす
– Realistic feelings：生々しくリアルを伝える
– Horizontal relationships：「横の繋がり」を積極的に展開していく

一般社団法人サイバーセキュリティ連盟は、「サイバー攻撃による『深刻な被害』ゼロ」を目指して
「日本のDXをもっと安全に」するためのさまざまな活動を展開しています。

既にサイバーセキュリティに取り組まれている方への強化コンテンツはもちろんのこと、
「サイバーセキュリティって必要なの？」「サイバー攻撃対策って、何をするの？」という方にも分かりやすく、
その必要性や具体的な対策方法などが分かるコンテンツを提供しています。

幅広く多くの方にご参加いただける様に費用は無料です。この機会に、ぜひご入会をご検討ください。

■ 入会申込みフォーム

– 法人名義でのご入会を希望される方：
https://docs.google.com/forms/d/e/1FAIpQLSczqSTsvijFvnKbgGO8bjJr_cf2QiT3A9lSbNwoOIy1PscwMQ/viewform

– 個人名義でのご入会を希望される方：
https://docs.google.com/forms/d/e/1FAIpQLSeFlS0JvX7eZ3H4hjvQ4jwLbulrO95ogh_bhSt-AwGdUJLj-w/viewform

ご入会に際してご不明点がございましたら、以下にお問い合わせください。

一般社団法人サイバーセキュリティ連盟
事務局：contact@cs-a.or.jp