一般社団法人日本クレジット協会は3月15日、「クレジットカードセキュリティ―ガイドライン5.0」を公表した。EC事業者のクレジットカード決済に、セキュリティー規格「EMV3-D」の導入を積極化させる方針だ。
対応を怠った場合の協会による罰則規定はないが、EC事業者がクレジットカード加盟店の申請をしても、加盟店契約ができないなどの影響があるとみられる。
EMV3-Dセキュアは、不正取引を防止するための認証方法。不正の疑いがある取り引きを検知した際は、消費者に本人認証を実施する。
EC事業者にとっては、不正注文やチャージバックへの対策になる一方で、正規のユーザーによる取引にも、購入時に認証のステップが入る可能性があり、カゴ落ちの増加によるコンバージョン低下の恐れがある。
「EMV3-D」は、経済産業省が主導して取り組みを進めており、EC事業者での導入義務付けを議論している。それを受けて同協会は、事業者ベースでの対応策を整理して公表している。
「ガイドライン5.0」では、EMV3-Dセキュアの導入を推進すべく、EC加盟店やカード会社、決済代行会社など、事業者ごとの対策の方向性を示した。
EC加盟店での導入の考え方については、「早期に導入に着手する」としており、中でも不正顕在加盟店は「不正利用が発生し被害が生じていることから、即時に導入に着手する」としている。
さらに、加盟店とのフロントを担うカード会社に求める対応として、「EC加盟店と新規に加盟店契約する際には、2025年3月末までに導入することを説明した上で契約する」と明記している。
<チェックリストの申告も>
「ガイドライン5.0」により、EC事業者が加盟店契約する際に必要な対応が増えるとみられる。
協会ではガイドラインの付属文書として、「セキュリティーチェックリスト」を策定した。新たに加盟店契約するEC事業者は、チェックリストの対策を講じ、「その状況をアクワイアラー(カード会社)やPSP(決済代行会社)に申告」するとしている。その上で、カード会社などには「EC加盟店からの申告を受けた上で加盟店契約を締結することが求められる」とした。
さらに、2025年4月以降は、新規だけでなく、全てのEC加盟店に対して、チェックリストに基づく対策を求める。
<導入コストに懸念も>
EC事業者では、EMV3‐Dの導入について慎重な企業が多いようだ。
年商100億円規模の健康食品の単品リピート通販を提供しているある企業では、EMV3D-Sの導入について、「そろそろ対応しなければいけないと思いつつ、まだ導入していない。導入に開発コストがかかるのでギリギリまで様子を見るつもりだ」(取締役)と話す。
中小規模の食品ECを展開する企業からは、「事業を拡大していく段階では、守りのセキュリティーでのコスト増加は厳しい。慎重に動向を見守りたい」(社長)との声も聞かれた。