2025年4月以降、全EC加盟店にセキュリティ対策を要求

同ガイドラインは、割賦販売法に定めるセキュリティ対策義務の「実務上の指針」に当たるもの。安全・安心なクレジットカード利用環境を整備するため、カード会社、加盟店、PSP（EC加盟店に決済スキームを提供してカード情報を処理する事業者）などに求められるセキュリティ対策を示した。

主な改訂内容を見ると、クレジットカード情報保護対策として、2025年4月以降、全てのEC加盟店に対し、「セキュリティ・チェックリスト」に記載されている脆弱性対策といったセキュリティ対策の実施を求めた。

また、アクワイアラー（加盟店を開拓して契約する事業者）とPSPには、EC加盟店に対し、セキュリティ対策を実施する必要性を周知するよう求めている。

EMV3-Dセキュアの導入計画の策定と早期導入を要求

不正利用対策については、2025年3月末までに原則すべてのEC加盟店へEMV3-Dセキュアを導入するため、EC加盟店、アクワイラー、PSP、イシュアー（クレジットカード発行事業者）のそれぞれの取り組みを整理した。

EC加盟店では、EMV3-Dセキュアの導入計画を策定し、早期導入に着手する。不正利用が多発している加盟店については、EMV3-Dセキュアの即時導入を求めた。

アクワイアラーとPSPに対しては、不正利用が多発している加盟店のEMV3-Dセキュアの即時導入などを働きかけるよう要求。EC加盟店と新規に契約する場合は、2025年3月末までにEMV3-Dセキュアを導入することを説明した上で契約することとした。

イシュアーでは、自社カード会員を対象にEMV3-Dセキュアの登録を推進し、25年3月末時点で、EC利用会員ベースで80％の登録を目指すと明記。また、「静的（固定）パスワード」以外の認証方法への移行について、25年3月末までに、EMV3-Dセキュア登録会員ベースで100％達成を目標に据えた。