クレジットカードは身近な決済手段として普及する一方で、偽造カードの利用、通販サイトなどへの不正アクセスといった不正利用も急増しています。そこで、クレジット取引等を対象に、事業者が守るべきルールを定めた「割賦販売法」が改正されます。

 本稿では、改正点の中でも、加盟店に求められる対応を中心に紹介します。法改正の詳細については、割賦販売法の条文およびクレジット取引セキュリティ対策協議会の公表資料「クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画-2017-」(以下「実行計画」)、経済産業省の公表資料などをご確認ください。

      

  • クレジット取引セキュリティ対策協議会「クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画-2017-」
    http://www.j-credit.or.jp/security/document/

    • 1 加盟店におけるセキュリティ対策が「義務化」

    法改正によって、加盟店には「クレジットカード番号等の不正利用の防止」などが義務付けられます。例えば、小売店・飲食店などの対面取引加盟店では、施行日までにICカードに対応した決済端末(以下「IC対応端末」)を導入しなければなりません。また、ネット通販などの非対面取引加盟店では、「実行計画」上、2018年3月末までにネット取引でのなりすまし対策などが求められます。

    加盟店によっては、想定外の多額の費用が必要になる可能性もあるため、今のうちに自社がするべきことを確認しておくことが大切です。本稿では、改正割賦販売法対応に要する期間や費用の「目安」について、日本クレジット協会、POSレジメーカー、決済代行会社などへのヒアリングを基に、紹介していきます。なお、導入する機種やサービスといった個別の事情によって、所要期間や費用は大きく変動しますので、本稿で紹介する期間・費用は、あくまでも「目安」としてお読みください。

    2 「非保持化」「PCI DSSへの準拠」とは何か

    クレジットカード番号等の不正利用の防止の他に、加盟店は「クレジットカード番号等の適切な管理」すなわち「カード情報の漏えい対策」をしなければなりません。そこで、加盟店ではカード情報の非保持化、または、PCI DSS(Payment Card Industry Data Security Standard)への準拠が必要です。

    1)非保持化とは

    非保持化とは、「自社保有の機器・ネットワークにおいて、カード情報を保存・処理・通過しないこと」です。

    これは、カード情報を電磁的なデータとして保存したり、やり取りしたりできないようにすることです。一時的であっても、電磁的なデータの保持は認められず、カード情報を保存する場合、それらの情報は紙のレポートやクレジット取引に係る紙伝票のみで保持することになります。

    なお、次の手法を採用すれば、仮に自社外への情報漏えいが発生したとしても、窃取された情報が無価値なため、結果として悪用防止につながります。

    • トークナイゼーション:自社システムの外で不可逆な番号等に置き換え、自社システム内ではクレジットカード番号を特定できないようにすること
    • トランケーション:自社システムの外でクレジットカード番号を国際的な第三者機関に認められた桁数を切り落とし、自社内では特定できないようにすること

    2)PCI DSSへの準拠とは

    自社でカード情報を電磁的なデータとして保持する場合、PCI DSSへの準拠が必要です。PCI DSSとは、クレジットカード会員データを安全に取り扱うことを目的として、国際カードブランド5社が共同で策定したセキュリティ基準です。

    ただしPCI DSSへの準拠には、準備に半年~数年程度、費用は数百万~数億円かかる場合もあります。PCI DSSへの準拠は負担が重いといえるため、非保持化を進める加盟店が多くなるでしょう。

    3 加盟店に求められる対応一覧

    加盟店の形態に分けて必要な対応を整理すると、次のようになります。なお、ここでは「クレジットカード番号等の適切な管理」をする方法として、非保持化への対応のみを紹介します。

    加盟店の対応は少し複雑です。対面取引加盟店と非対面取引加盟店に分け、導入している決済端末の状況も踏まえた上で、それぞれの対応を一覧にまとめて紹介しています。

    IC対応端末への置き換え・切り替えは対面取引加盟店だけが必要であり、ネット取引でのなりすまし対策は非対面取引加盟店だけが必要です。一方、非保持化への対応は、対面取引加盟店・非対面取引加盟店の双方で必要です。

    以降では、より具体的な対応について紹介しますが、詳細はカード会社、POSレジメーカー、決済代行会社などにご確認ください。

    メールマガジンの登録ページです

    4 対面取引加盟店に求められる対応

    対応が必要なのは、「IC対応端末を導入していない」「カード情報を非保持化していない(またはPCI DSS準拠していない)」加盟店です。対応の期日は法改正の施行日(「実行計画」上の最終目標は2020年3月末)までですが、後述する補助金を利用する場合、さらに早い対応が必要です。

    1)IC対応端末への置き換え・切り替え

    決済専用端末(CCT)を単独で設置している場合、IC対応端末への置き換え・切り替えが必要です。カード会社などに連絡をして、IC対応端末に置き換えてもらいましょう。なお、自ら購入する場合の費用は、1台当たり4万~8万円となります。POSシステムと決済端末を連動させている場合や、カード処理機能を持ったPOSレジを設置している場合も、IC対応端末への置き換え・切り替えが必要です。

    読者の中には、この機会に、カード処理機能を持ったPOSレジ(POSレジ本体にICチップの読み取り機能が備わっているタイプ。付属機器として暗証番号入力用パッドが付いているもの)への置き換えや切り替えを検討する方もいるかもしれません。ちなみにカード処理機能を持ったPOSレジを購入する場合の費用は、1台当たり10万~40万円となります。

    なお、消費税軽減税率制度に対応するためレジを導入し、併せてIC対応端末を導入する場合、軽減税率対策補助金を利用できることがあります。補助金を利用する場合、代金支払いを済ませた上で、事務局宛の補助金の交付申請(2018年1月31日消印有効)が必要です。申請期間や補助対象の詳細は下記のサイトで確認するようにしてください。

    また、各種クレジットカード、銀聯カード、各種電子マネー、J-Debitを共通の端末(本体端末+リーダライタ+暗証番号入力用パッド)で取り扱い可能なサービスも提供されていますので、この機会に検討してみるのもよいかもしれません。

    2)非保持化への対応

    決済専用端末(CCT)を単独で設置し、端末からカード会社や決済代行会社などの外部のサーバーに直接カード情報を送っている場合は、非保持化対応は完了しています。

    POSシステムと決済端末を連動させている場合も、IC対応端末から外部のサーバーに直接カード情報を送る仕組み(例:決済専用端末連動型)を採用することで、非保持化対応は完了します。

    ただし、非保持化の仕組みを導入するために、自社のPOSシステムの改修が必要な場合があるので注意しましょう。改修にかかる期間は2~4カ月程度、費用は数十万~数百万円となります。POSメーカーなどに相談し、カード処理機能を持ったPOSレジの置き換え・切り替えや、システムの改修の有無などを早めに確認しておきましょう。

    5 非対面取引加盟店に求められる対応

    対応が必要になるのは、「カード情報を非保持化していない」「なりすまし対策をしていない」加盟店です。なお、非対面取引加盟店の対応は「実行計画」上、2018年3月末が目標です。対面取引加盟店よりも、早めの対応が求められます。

    (注)本稿では、決済代行会社(PSP)傘下のインターネット加盟店につきご説明します。

    1)非保持化への対応

    PCI DSSに準拠している決済代行会社などが提供するサービスを導入することで対応します。非保持化への対応で注意すべき点は、カード情報を自社保有の機器・ネットワークで「保存」していなくても「通過」している可能性があることです。その場合、不正アクセスやマルウェアによりカード情報を窃取されるリスクが高くなります。

    例えば、顧客の商品購入時、決済代行会社のサイトに遷移させてカード情報を入力してもらっているのであれば、非保持化対応は完了です(この方式を非通過型(リンク型)といいます)。

    一方、自社のサイト(ドメイン)内でカード情報を入力してもらい、それを決済代行会社に送信しているのであれば、情報が自社内を通過している状態なので非保持化対応が必要です。

    ただし、自社のサイト(ドメイン)内でカード情報を入力してもらう場合であっても、決済代行会社が提供する「トークン方式(JavaScript使用の非通過型決済)」を導入していれば、非保持化対応は完了です。

    サイトのシステム要件などによっても異なるものの、非保持化のサービスを導入する場合、期間は2週間~1カ月程度、費用は10万円程度となります。なお、決済サービス自体を利用するのに、月額利用料・決済手数料・トランザクション料などが必要になります。

    2)ネット取引でのなりすまし対策

    ネット取引でのなりすましを防止するために、3Dセキュア(本人認証サービス)、セキュリティコードによる本人確認などの各種セキュリティ対策を導入する必要があります。具体的な対策を検討する際には、加盟店の業種・商品などに応じた対策とする必要がありますので、契約している決済代行会社やクレジットカード会社に、ぜひ相談してみましょう。

    6 セキュリティ対策が不十分な加盟店は、加盟店契約が解除されてしまう恐れも

    加盟店に課せられる義務「クレジットカード番号等の不正利用の防止」と「クレジットカード番号等の適切な管理」に違反した場合であっても、法令上の罰則は設けられていません。ただし、加盟店が義務を果たさない場合は、カード会社から義務を果たすよう要請があり、加盟店がこの要請に応じない場合は、将来的にクレジットカードの取り扱いができなくなる可能性があります。

    また、義務を果たしていない加盟店の情報は、日本クレジット協会加盟店情報交換センターに報告することが義務付けられているので、現在契約のない他のカード会社などにも情報が共有されます(注)。

    (注)日本クレジット協会加盟店情報交換センターは、悪質加盟店を排除し、クレジット取引の健全な発展と消費者保護に資することを目的として、加盟店情報の共同利用を行っています。また、改正割賦販売法第35条の17の8第4項では、必要に応じてカード会社(アクワイアラー)などが取るべき措置の例示として、加盟店契約の解除を規定していることにも留意しなければなりません。

    さらに、加盟店契約を締結または改定する際の参考とすべき一般的なモデル契約条項と、既存契約に関する解釈指針を示すため、経済産業省では2017年7月に「クレジットカード加盟店契約に関するガイドライン」を公表しました。

    このガイドラインでは、セキュリティ対策が不十分な加盟店に関して不正利用による被害が発生した場合、加盟店が損失を負担する規定が設けられています。これを受け、カード会社などが、既存の加盟店契約の見直し作業を進展させ、ガイドラインで示されたモデル契約条項の内容を契約に反映させる動きが今後予想されますので、加盟店としては、より一層偽造カード対策やネット上でのなりすまし対策などの不正利用対策に注力していく必要があるものといえるでしょう。

    以上

    ※上記内容は、本文中に特別な断りがない限り、2017年12月8日時点のものであり、将来変更される可能性があります。

    ※上記内容は、株式会社日本情報マートまたは執筆者が作成したものであり、りそな銀行の見解を示しているものではございません。上記内容に関するお問い合わせなどは、お手数ですが下記の電子メールアドレスあてにご連絡をお願いいたします。

    【電子メールでのお問い合わせ先】
    inquiry01@jim.jp

    (株式会社日本情報マートが、皆様からのお問い合わせを承ります。なお、株式会社日本情報マートの会社概要は、ウェブサイト https://www.jim.jp/company/をご覧ください)

    ご回答は平日午前10:00~18:00とさせていただいておりますので、ご了承ください。

Leave a comment

メールアドレスが公開されることはありません。 が付いている欄は必須項目です