インターネットの社会インフラ化に伴い、クレジットカードの不正使用による被害が大きな社会問題となっています。これらの被害の多くが、クレジットカードを決済に使用している加盟店(以下「加盟店」)のセキュリティ対策の不備を悪用したものです。

 そんななか、クレジットカードを決済に使用している加盟店に対して、クレジットカード情報のセキュリティ対策の義務化などを折り込んだ「割賦販売法」の改正が2016年に成立し、2018年6月から施行されています。内容は以下の通りです。

(1)加盟店管理の強化
(2)クレジットカード情報の適切な管理

 今回の改正により、加盟店にはどのような法律上の義務が発生し、どのような対策が必要なのでしょうか。ここでは加盟店に大きく影響している (2)のクレジットカード情報の適切な管理を中心にポイントを解説します。

 

クレジットカード情報は社内に保存してはダメ

 改正法では、加盟店に対し、クレジットカード情報の適切な管理(35条の16第1項)、(2)クレジットカード番号等の不正利用の防止(35条の17の15)を講ずると規定しています。

 これらの規定に関して、経済産業省のガイドラインでは、加盟店に対し、以下2点の要求を行っています

(1)クレジットカード情報の漏えい対策として、クレジットカード情報の「非保持化」と、非保持化ができない場合にはPCIDSS(※)に準拠していること

※PCIDSS……クレジットカード会員データのセキュリティに関する国際基準の一つ

(2)対面取引における「偽造カード」対策としてクレジットカード決済端末の「ICカード」対応化、ネット取引(EC)における「なりすまし」対策としてパスワードによる本人認証、セキュリティコードなどを利用した多面的・重層的な不正使用対策を行うこと

 (1)の「非保持化」とは、自社で保有する機器・ネットワークにおいて「クレジットカード情報」を電磁的情報として「保存」「処理」「通過」しないことを指します。

 (1)と(2)の義務を達成するため、加盟店はどのような対策を講ずる必要があるのでしょうか。日本クレジット協会のガイドラインなどから、加盟店の種類ごとに説明します。

 

対面取引であり、決済専用端末(CCT)を単体で使用している加盟店

 ICカードに対応したCCTを使用して、外部の情報処理センターなどに直接伝送している場合には、(1)(2)いずれについても対応できます。しかし、ICカード未対応のCCTの場合には、… 続きを読む

全文(続き)を読む

続きを読むにはログインが必要です。

まだ会員でない方は、会員登録(無料)いただくと、続きが読めます。

なかむら いちろう/studio woofoo(www.studio-woofoo.net)

なかむら いちろう/studio woofoo(www.studio-woofoo.net)

情報学博士・ITコンサルタント・テクニカルライター

ITと法律分野の多彩な知識を生かして「情報学」の博士号を取得し、企業や自治体でのコンサルティングや各方面での執筆をこなす。
著書に『「俺の酒が飲めねーか」は犯罪です』(講談社)、『あなたの知らない「ヘン」な法律』(三笠書房)がある。

関連キーワード

連載記事