【25年3月末】EMV 3Dセキュア導入義務化!EC事業者に必要な対応は?
IT・情報セキュリティ 更新
非対面取引でのクレジットカードの利用が拡大する一方で、クレジットカード番号を不正に入手した者による不正利用も増加しており、不正利用対策の強化は重要な課題となっています。そこで、2025年3月末までに、クレジットカードを決済手段とするEC事業者は、原則としてEMV 3Dセキュアの導入が義務付けられることになりました。
本稿では、EMV 3Dセキュアについて紹介しつつ、EC事業者がEMV 3Dセキュアを導入する上での法律上の留意点を概説します 1。
EMV 3Dセキュアとは
3Dセキュアとは、EC事業者のクレジットカード決済における不正利用防止のための本人認証手法であり、利用者がカード会員本人であることを確認する仕組みのことです。具体的には、カード会員に対して、本人のみが知る情報を入力させることなどにより、本人認証を行うことになります。
3Dセキュア 2 には、「3Dセキュア1.0」と「EMV 3Dセキュア」の2種類があり、旧バージョンである「3Dセキュア1.0」は2022年10月で取扱終了となったため、今は、「EMV 3Dセキュア」のみが取り扱われています。
EMV 3Dセキュアの仕組みは、認証時に、デバイス情報(例:デバイスID、OS言語、OS種類、IPアドレス)、行動情報(例:アクセス地域、アクセス時間)、属性情報(例:住所、Eメールアドレス、電話番号)の情報を基にスコアリングを行い、リスクに応じて次の認証処理を行うものです。
| リスク | 認証処理 |
|---|---|
| 低 | パスワード等の入力なしに認証が完結する |
| 中 | 会員に対して追加の認証(パスワード等)を要求して認証を行う |
| 高 | 認証を拒否する |
EMV 3Dセキュア導入の必要性
クレジットカード決済サービスを提供する会社(以下「カード決済サービス会社」といいます)は、その決済サービス利用者であるEC事業者が、クレジットカード番号等の不正な利用を防止するために必要な措置(以下「不正利用防止措置」といいます)を講じているか否かを、決済サービスの契約時、および、定期的にまたは必要に応じて調査する義務が課せられています(割賦販売法35条の17の8第1項および第3項、同法施行規則133条の5第3号、133条の6第4項等)。
そして、不正利用防止措置についてのガイドラインであるクレジット取引セキュリティ対策協議会の「クレジットカード・セキュリティガイドライン【5.0版】」(2024年3月14 日改訂)によると、2025年3月末までに、原則として、クレジットカードを決済手段とするEC事業者にEMV 3Dセキュアの導入を求めることとしています。したがって、EC事業者は、2025年4月以降、カード決済サービス会社から、EMV 3Dセキュアに対応しているか否かを調査されることになります。なお、2025年3月4日には、改訂された「クレジットカード・セキュリティガイドライン【6.0版】」が公表されています。
そして、カード決済サービス会社は、その加盟店が、不正利用防止措置を取っていないと認めるときは、新規契約の申し込みについては拒絶し、既存の加盟店については、合理的な期間内に是正するよう指導し、そして、加盟店が指導に従わないときにはカード決済契約を解除する義務が課せられています(割賦販売法35条の17の8第2項および第4項、同法施行規則133条の9第1号および第4号)。
以上のとおり、EC事業者は、2025年3月までに原則としてEMV 3Dセキュアの対応が必要であり、対応していない場合には、カード決済サービス会社から、カード決済契約を解除されてしまうおそれがあります。
EMV 3Dセキュアの導入方法
EMV 3Dセキュアの導入方法については、クレジット取引セキュリティ対策協議会が「EMV 3-Dセキュア導入ガイド【附属文書14】」(以下「導入ガイド」といいます)を公表しています。クレジットカードを決済手段とするEC事業者は、この導入ガイドに従って対応を行うことになります。
また、自社が契約しているカード決済サービス会社からガイダンスが出ている場合には、そのガイダンスの内容も参考にすることになります。
EMV 3Dセキュアの導入時の個人情報保護法の留意点
EMV 3Dセキュアの導入にあたって、法律上、重要なポイントとなるのが、「EMV 3-Dセキュア導入加盟店における個人情報保護法の遵守に関する留意点」(導入ガイド40頁以下)です。
このEMV 3Dセキュアの仕組みでは、カード決済サービス会社が、カード会員の属性情報、デバイス情報等を用いて不正利用のリスク判断を行うこととの関係で、その情報が個人情報になる場合には、その加盟店は個人情報保護法に従った適切な取扱いが求められます。
結論としては、EC事業者は、以下の文言を参考に、クレジットカード利用者個人から、個人情報の取り扱いについて適切な同意を取得する必要があるとの説明がなされています(導入ガイド42〜44頁) 3 。
当社がお客様から収集した以下の個人情報等は、カード発行会社が行う不正利用検知・防止のために、お客様が利用されているカード発行会社へ提供させていただきます。
氏名、電話番号、emailアドレス、インターネット利用環境に関する情報 等
(加盟店の態様に応じて提供する個人情報を特定し記載ください)
お客様が利用されているカード発行会社が外国にある場合、これらの情報は当該発行会社が所属する国に移転される場合があります。当社では、お客様から収集した情報からは、ご利用のカード発行会社及び当該会社が所在する国を特定することができないため、以下の個人情報保護措置に関する情報を把握して、ご提供することはできません。
- 提供先が所在する外国の名称
- 当該国の個人情報保護制度に関する情報
- 発行会社の個人情報保護の措置
お客様が未成年の場合、親権者または後見人の承諾を得た上で、本サービスを利用するものとします。
この文言例について説明を補足します。個人情報保護法の下では、個人データの第三者への提供には同意が必要であり(個人情報保護法27条1項)、また、外国にある第三者への個人データ提供には所定の情報提供が必要(同法28条2項、同法施行規則17条3項および4項)となっていることから、上記の文言になっていると考えられます。
なお、クレジットカード利用者のクレジットカードカード発行会社を国内に限定できれば、外国にある第三者への個人データの提供規制に対応する必要はありません。しかし、そうでない場合には、結局、すべてのお客様に対して「お客様が利用されているカード発行会社が外国にある場合、…」という形で、必要な情報を提供した上で同意を取得する必要が出てくることになります。
また、文言例では「お客様が未成年の場合、親権者または後見人の承諾を得た上で、本サービスを利用するものとします。」と記載されていますが、これは、「個人情報の取扱いに関して同意したことによって生ずる結果について、未成年者、成年被後見人、被保佐人及び被補助人が判断できる能力を有していないなどの場合は、親権者や法定代理人等から同意を得る必要がある」(個人情報保護法ガイドライン(通則編)2-16)を踏まえた記載と考えられます。
ただし、そもそも未成年のユーザーは商品やサービスを購入できないことになっていれば、当該記載は必要ではありません。
EC事業者からのFAQ
EMV 3Dセキュアの導入に関して、EC事業者からよく受けるご相談を紹介します。
EMV 3Dセキュアに対応しない場合、カード決済サービス会社が実際に解約などの強力な手段を取ってくるリスクはどのぐらいありますか
リスクはかなり現実的なものであると考えます。
カード決済サービス会社は、クレジットカード番号等取扱契約締結事業者の登録を有しており、経済産業省の監督下にあります。したがって、当該登録を維持することは、事業として欠かせないものであることから、経済産業省からの指導や行政処分を避けるために、割賦販売法に基づく義務を誠実に履行するものと想定されます。
また、実際に加盟店でクレジットカードの不正利用が発生した場合に、カード決済サービス会社が調査をすれば、EMV 3Dセキュアに対応していないことは容易に発覚してしまうため、隠し通せるものでもないと思われます。
EMV 3Dセキュアに対応しないEC事業者は、行政処分や罰則の対象になりますか
行政処分や罰則の対象にはなりませんが、行政による調査として、報告徴収(割賦販売法40条7項)、立入検査(同法41条3項)の対象にはなります。
個人情報保護法で必要な同意はどのように取ったらよいですか
カード会員からの同意の取得については、いろいろな対応方法が考えられます。典型的には、プライバシーポリシーに記載して同意を求める方法や、決済画面で表示を行い同意する場合にのみ先に進めるようにすることが考えられます。導入ガイド42~43頁もご参照ください。
同意取得方法の例(いずれか1つの方法にて同意取得)
なお、ここで必要なのは通知ではなく同意であり、また、プライバシーポリシーには民法上の定型約款のルールは適用されないと考えられています(経済産業省「電子商取引及び情報財取引等に関する準則」(令和7年2月)35〜36頁参照)。したがって、EMV 3Dセキュア対応のために、既存のプライバシーポリシーに文言を追記し、Eメールでユーザーに対してその追記について単なる通知をするだけでは、不十分だと判断されてしまうリスクがあることに注意が必要です。
EMV 3Dセキュアの対応は、「原則」として必要とのことですが、例外はありますか
導入ガイドでは、EMV 3Dセキュアの未導入が認められる取引として、次の内容が紹介されています。
| 要件 | 取引具体例 |
|---|---|
(1)EMV 3-D セキュアの導入が技術的にできないもの(【留意事項】については対応不要) |
電話・FAX・郵便によりクレジットカード番号の通知を受ける取引(いわゆるメールオーダー、テレフォンオーダー取引) |
| ゲーム機・スマートスピーカー等の EMV 3-Dセキュアが利用できない機器でのEC取引 | |
(2)システムにより特定の者とのみ取引可能な措置が講じられており、なりすましによる不正が発生する蓋然性が極めて低いもの |
個人事業主または法人が契約主体のクレジットカードに限定したサイトでの BtoB 取引(事業者購買専用サイト、法人間取引専用サイト、宿泊代金精算用の法人契約カード取引等) |
| イントラネット環境、IP アドレス等による外部からの通信制限によって利用者を特定することにより、不特定多数の者が利用できない取引(従業員専用サイトでの取引、販売代理店専用サイトでの取引等) | |
(3)取引対象となる本人が特定されており、なりすましによる不正が発生する蓋然性が極めて低いもの |
|
| 【留意事項】 EMV 3-Dセキュアの未導入が認められる取引であっても、不正顕在化加盟店(3ヵ月連続50万円超)となった場合には、EMV 3-Dセキュアの導入が必要。また、不正利用の発生状況からカード会社(アクワイアラー)・PSP が対策の緊急性が高いと判断した場合には、加盟店に対して EMV 3-Dセキュアの導入を要請し、加盟店は EMV 3-Dセキュアの導入を行う。 |
|
出所:導入ガイド20頁
また、「EMV 3-Dセキュア導入ガイド【附属文書14】に関するFAQ」(2025年3月版)においても、未導入が認められる取引について詳しく解説されています(No.4-20)。
ユーザーのアカウントにクレジットカード番号を登録してもらっているのですが、2025年3月以前に既にアカウントに登録されたクレジットカードについては、遡ってEMV 3Dセキュア認証をしなくてはならないのでしょうか
「EMV 3-Dセキュア導入ガイド【附属文書14】に関するFAQ」(2025年3月版)のNo.16では、「2025年3月以前にアカウントに登録されたカードについて、当該カードが真正利用であることが分かっており、不正利用のリスクがないものについては遡ってEMV 3Dセキュアによる認証を行う必要はないと考えられます。ただし、加盟店はアカウント等の利用者であることの確認およびアカウント等の厳格な管理を行う必要はあります。」と解説されていることから、一定の条件のもとで遡った認証は不要であると考えられます。
-
本稿の意見に係る部分は著者の個人的見解であり、著者の所属する組織の見解を表すものではありません。 ↩︎
-
国際ブランドごとに3Dセキュアのサービス名称は異なり、たとえば、Visaは「Visa Secure」、Mastercardは、「Mastercard ID Check」、JCBは「J/Secure」という名称です。 ↩︎
-
EMV 3Dセキュアの対応は、割賦販売法35条の17の15に基づく「クレジットカード番号等の不正な利用を防止するために必要な措置」として行われるものです。そこで、第三者提供の例外である「法令に基づく場合」(個人情報保護法27条1項)として、個人データの提供にあたっての本人の同意が不要とする整理についても検討の対象となり得ます。ただし、その検討に際しては、EMV 3Dセキュアへの対応そのものは、法令上に直接の具体的な根拠規定があるものではないこと、また、EMV 3Dセキュアへの対応は、経済産業省はオブザーバーとして参加してはいるものの、民間団体の「クレジット取引セキュリティ対策協議会」のガイドラインで求められているものであること、そして、同協議会としてもEMV 3Dセキュアの対応には本人同意が必要であるという見解を採用していることを踏まえる必要があります。 ↩︎
森・濱田松本法律事務所外国法共同事業