割賦販売法が改正、クレジットカード対策は大丈夫？

　インターネットの社会インフラ化に伴い、クレジットカードの不正使用による被害が大きな社会問題となっています。これらの被害の多くが、クレジットカードを決済に使用している加盟店(以下「加盟店」)のセキュリティ対策の不備を悪用したものです。

　そんななか、クレジットカードを決済に使用している加盟店に対して、クレジットカード情報のセキュリティ対策の義務化などを折り込んだ「割賦販売法」の改正が2016年に成立し、2018年6月から施行されています。内容は以下の通りです。

（1）加盟店管理の強化
（2）クレジットカード情報の適切な管理

　今回の改正により、加盟店にはどのような法律上の義務が発生し、どのような対策が必要なのでしょうか。ここでは加盟店に大きく影響している (2)のクレジットカード情報の適切な管理を中心にポイントを解説します。

クレジットカード情報は社内に保存してはダメ

　改正法では、加盟店に対し、クレジットカード情報の適切な管理(35条の16第1項)、（2）クレジットカード番号等の不正利用の防止(35条の17の15)を講ずると規定しています。

　これらの規定に関して、経済産業省のガイドラインでは、加盟店に対し、以下2点の要求を行っています

（1）クレジットカード情報の漏えい対策として、クレジットカード情報の「非保持化」と、非保持化ができない場合にはPCIDSS（※）に準拠していること

※PCIDSS……クレジットカード会員データのセキュリティに関する国際基準の一つ

（2）対面取引における「偽造カード」対策としてクレジットカード決済端末の「ICカード」対応化、ネット取引(EC)における「なりすまし」対策としてパスワードによる本人認証、セキュリティコードなどを利用した多面的・重層的な不正使用対策を行うこと

　（1）の「非保持化」とは、自社で保有する機器・ネットワークにおいて「クレジットカード情報」を電磁的情報として「保存」「処理」「通過」しないことを指します。

　（1）と（2）の義務を達成するため、加盟店はどのような対策を講ずる必要があるのでしょうか。日本クレジット協会のガイドラインなどから、加盟店の種類ごとに説明します。

対面取引であり、決済専用端末（CCT）を単体で使用している加盟店

　ICカードに対応したCCTを使用して、外部の情報処理センターなどに直接伝送している場合には、（1）（2）いずれについても対応できます。しかし、ICカード未対応のCCTの場合には、… 続きを読む