加盟店向け決済サービス(法人のお客さま) 加盟店向け決済サービスー改正割賦販売法に伴うお知らせ
加盟店(クレジットカードを取り扱うお店)の皆さまへ
割賦販売法改正に伴うセキュリティ対策の取組みについてのお知らせ
日頃は、クレジットカードによる取引に関してご理解とご協力を賜り、厚くお礼申し上げます。
さて、2018年6月1日に改正割賦販売法が施行され、クレジットカードを取り扱う加盟店において、カード番号等の適切な管理や不正使用対策を講じることが義務義務づけられることになりました。
つきましては、別記の内容についてご理解を賜り、必要な対応を行っていただきますようお願い申し上げます。
クレジットカードを取り扱う加盟店にご対応いただくこと
- カード情報保護※について適切な保護措置をとること(非保持化又はPCIDSS準拠)。
- 不正使用対策として、対面加盟店ではICカード決済が可能な端末を設置し、EC(ネット取引)加盟店では、なりすましによる不正使用防止対策をとること。
※カード情報保護について
- 非保持化とは、電磁的に送受信しないこと、すなわち自社で保有する機器・ネットワークにおいて「カード情報」を電磁的情報として『保存』、『処理』、『通過』しないこと」をいいます。なお、決済専用端末から直接、外部の情報処理センター等にカード情報を伝送している場合は、非保持とします。
- PCIDSS(Payment Card Industry Data Security Standard)とは、クレジットカード会員データを安全に取り扱う事を目的として策定された国際ブランドが策定した基準です(下記の日本カード情報セキュリティ協議会のホームページ参照)。
http://www.jcdsc.org/pci_dss.php - カード番号を保持する場合には、原則PCIDSS準拠が必要ですが、対面加盟店において、暗号化等の処理によりカード番号を特定できない状態とし、自社内で復号できない仕組みであれば、非保持化と同等/相当のセキュリティ措置として扱うことができる場合があります。
POSシステムと端末間で、取引金額決済結果等を連動させている加盟店
- カード情報保護については、非保持化(上記の非保持化と同等/相当のセキュリティ措置を含む。以下同じ。)又はPCIDSS準拠が必要です(上述の「※カード情報保護について」参照)。
- ICカードに対応した決済端末(暗証番号の入力方式)が設置されていれば、不正使用対策(偽造防止対策)はすでに対応が済んでいますので、新たな対応は必要ありません。
- 一方、ICカードに対応していない端末であれば、ICカードに対応した端末への置換えが必要です。
- ご不明な点があれば、POS機器メーカーにご照会ください。
カード処理機能を持ったPOSを設置している加盟店
- カード情報保護については、非保持化又はPCIDSS準拠が必要です(上述の「※カード情報保護について」参照)。
- ICカードに対応したPOS(暗証番号を入力する方式)が設置されていれば、不正使用対策(偽造防止対策)はすでに対応が済んでいますので、新たな不正使用対策(偽造防止対策)は必要ありません。
- 一方、ICカードに対応していないPOS(スワイプして磁気で読み取る方式)であれば、ICカードに対応したPOSに置換えを行うか、ICカードに対応した決済端末を導入しPOSに接続する必要があります。
- ご不明な点があれば、POS機器メーカーにご照会ください。
EC(ネット取引)加盟店
- カード情報保護については、非保持化又はPCIDSS準拠が必要です(上述の「※カード情報保護について」参照)。
- EC加盟店において、決済代行業者(PSP)が提供するシステムを利用する場合があります。この場合、加盟店の機器・ネットワークを通過する「通過型」と、通過しない「非通過型」に大別されますが、通過型の場合には、カード情報を窃取されるリスクがあるので、「非通過型」を推奨しております。どちらの仕組みを導入しているかについては、契約先の決済代行業者にご確認ください。なお、「通過型」の場合には、カード情報を保持することになりますので、EC加盟店においてPCIDSS準拠が必要です。
- なりすましによる不正使用防止のため、パスワードの入力等により本人が利用していることを確認できる仕組みや申込者の過去の取引情報などから不正な取引かどうかを判定する手法の導入等、各加盟店の業種・取扱商材、リスクの状況に応じて、多面的・重層的な不正使用対策をする必要があります。
(別記)改正割賦販売法に伴うセキュリティ対策の取組みについて
1. 改正割賦販売法
(趣旨・概要)
近年、クレジットカードを取り扱う加盟店におけるクレジットカード番号等の漏えい事件や不正使用被害が増加(不正使用被害額はネット取引の増加にも伴い、平成24年の68.1億円から近年は右肩上がりで上昇し、平成28年には推計で約142.45億円に達すると見込まれている)しています。また、クレジットカード発行を行う会社と加盟店と契約を締結する会社が別会社となる形態(いわゆる「オフアス取引」)が増加し、これに伴ってクレジットカードを取り扱う加盟店の管理が行き届かないケースも出てきています。
こうした状況を踏まえ、
① クレジットカードを取り扱う加盟店に対し、クレジットカード番号等の適切な管理や決済端末のIC対応化等のセキュリティ対策を講じることの義務付け
② 加盟店に対し、クレジットカード番号等を取り扱うことを認める契約を締結する事業者(アクワイアラー(加盟店契約会社)等)について登録制度を創設するとともに、上記①の加盟店によるセキュリティ対策の実施状況を確認するための調査を実施することの義務付け等を盛り込んだ「割賦販売法の一部を改正する法律」(以下「改正割賦販売法」という。)が、2016年12月2日に国会において可決・成立し、同月9日に公布されました。
(施行期日)
同法は2018年6月1日に施行されました。
(法改正内容)
法改正内容等については、一般社団法人日本クレジット協会のホームページをご参照ください(下記のURL参照)。なお、ご不明な点等については、当社(契約するアクワイアラー(加盟店契約会社))よりご説明をさせていただきます。
また、改正割賦販売法全般についてのお問合せについては、下記の経済産業省のお問合せ先にご連絡をお願いいたします。
2. 加盟店におけるセキュリティ対策の取組み
クレジットカード取引に関連する事業者等で構成される「クレジット取引セキュリティ対策協議会」(事務局:(一社)日本クレジット協会)において、本年3月1日に、「クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画-2018 -」(昨年3月に公表した「実行計画-2017-」の改訂版)を策定しました。
この実行計画は、加盟店が改正割賦販売法上のセキュリティ対策義務を満たすための具体的な措置内容についての指針になり得るものであり、ご要望に応じ、(一社)日本クレジット協会又は経済産業省よりご説明いたします。
関連情報
改正割賦販売法
クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画
http://www.j-credit.or.jp/security/document/index.html
具体的なセキュリティ対策
http://www.j-credit.or.jp/security/understanding/member-store.html
その他
経済産業省のお問合せ先
商務情報政策局 商務流通保安グループ 商取引監督課
直通電話 : 03-3501-2302
本件に関するお問合せ先
(「お問合せの概要」は「加盟店向け決済サービス」をご選択ください。)