インターネットの社会インフラ化に伴い、クレジットカードの不正使用による被害が大きな社会問題となっています。これらの被害の多くが、クレジットカードを決済に使用している加盟店(以下「加盟店」)のセキュリティ対策の不備を悪用したものです。
そんななか、クレジットカードを決済に使用している加盟店に対して、クレジットカード情報のセキュリティ対策の義務化などを折り込んだ「割賦販売法」の改正が2016年に成立し、2018年6月から施行されています。内容は以下の通りです。
(1)加盟店管理の強化
(2)クレジットカード情報の適切な管理
今回の改正により、加盟店にはどのような法律上の義務が発生し、どのような対策が必要なのでしょうか。ここでは加盟店に大きく影響している (2)のクレジットカード情報の適切な管理を中心にポイントを解説します。
クレジットカード情報は社内に保存してはダメ
改正法では、加盟店に対し、クレジットカード情報の適切な管理(35条の16第1項)、(2)クレジットカード番号等の不正利用の防止(35条の17の15)を講ずると規定しています。
これらの規定に関して、経済産業省のガイドラインでは、加盟店に対し、以下2点の要求を行っています
(1)クレジットカード情報の漏えい対策として、クレジットカード情報の「非保持化」と、非保持化ができない場合にはPCIDSS(※)に準拠していること
※PCIDSS……クレジットカード会員データのセキュリティに関する国際基準の一つ
(2)対面取引における「偽造カード」対策としてクレジットカード決済端末の「ICカード」対応化、ネット取引(EC)における「なりすまし」対策としてパスワードによる本人認証、セキュリティコードなどを利用した多面的・重層的な不正使用対策を行うこと
(1)の「非保持化」とは、自社で保有する機器・ネットワークにおいて「クレジットカード情報」を電磁的情報として「保存」「処理」「通過」しないことを指します。
(1)と(2)の義務を達成するため、加盟店はどのような対策を講ずる必要があるのでしょうか。日本クレジット協会のガイドラインなどから、加盟店の種類ごとに説明します。
対面取引であり、決済専用端末(CCT)を単体で使用している加盟店
ICカードに対応したCCTを使用して、外部の情報処理センターなどに直接伝送している場合には、(1)(2)いずれについても対応できます。しかし、ICカード未対応のCCTの場合には、… 続きを読む