miyachannel
近年、サイバー攻撃によるカード情報の漏えいやカードの不正利用等が増加しています。その対策として、昨年12月、割賦販売法が改正されました(平成30年6月施行)。クレジットカードを取り扱うすべての加盟店(販売業者)に、カード決済端末のIC対応化など、セキュリティ対策の強化が義務づけられます。
カード番号の適切な管理と不正使用対策を義務づけ
わが国のクレジットカードの発行枚数は、2億6,600万枚を超え、成人1人当たり2.5枚を保有し、昨年の信用供与額は54兆円に達します(数値は日本クレジット協会公表)。
クレジットカードが、国民生活における重要な決済インフラになる一方、近年、カード番号等の漏えいや不正使用による被害も増加し、被害額は昨年だけで141億円に上ります。
特に、わが国はクレジットカード決済端末のICカードへの対応が約2割(欧州は99%)と遅れており(米国VISA発表)、国際的な犯罪の標的にされる危険性が高いと指摘されています。
平成28年12月に成立した改正割賦販売法は、安全・安心にクレジットカードを利用できる環境整備として、加盟店である小売店、飲食店、旅館・ホテル、ネット通販事業者に対してカード情報のセキュリティ対策の強化などを義務づけています。
加盟店に求められるセキュリティ対策
(1)カード情報の漏えい対策
改正法では、カード情報の漏えい対策として、カード情報のうち、クレジットカード表面に記載された「カード会員番号」「有効期限」「カード会員名」などの「カード会員データ」を加盟店が「持たないこと」(非保持化)などが義務づけられます(保有する場合には、国際的セキュリティ基準「PSI DSS」の認定を義務づけ)。また、その他のカード情報は、保有すること自体が禁止されています。
(2)偽造カードによる不正使用対策
クレジットカードの磁気ストライプに記録された情報は、スキミング(不正読み込み)や偽造カード作成が容易なため不正使用の温床にもなっています。
これに対し、ICチップを搭載したICクレジットカードは、ICチップ内の暗号化した情報を読み取るため、磁気ストライプよりもセキュリティレベルが高くなっています。
わが国では、大手コンビニチェーンをはじめカード決済端末の多い流通業においてIC対応化が遅れており、まだまだ磁気ストライプが主流になっています。
改正法では、加盟店にクレジットカード決済末のIC対応化が義務づけられ、今後、端末の追加や入れ替え、システム更新などが必要になります。
ICカード決済端末には、据置型や携帯型、スマートフォンやタブレット端末に接続できるタイプなどがあり、価格も5千~2万円程度と中小事業者にも対応しやすい環境になっています。
(3)ネット取引における不正使用対策
ネット通販では、カード番号と有効期限を送信することでカード決済が可能なため、不正に入手した他人のカード情報をもとに、本人になりすまして不正使用する被害が増加しています。
改正法では、「なりすまし」被害の防止対策として、例えば、カード番号と有効期限に加え、パスワードやセキュリティコードなどの追加情報の入力によって本人確認を行う仕組みの導入などが義務づけられます。
カードの利用明細の電子メール提供も可能に!
クレジットカード決済をした顧客に加盟店が渡す「カード利用明細伝票」について、改正法では、紙に代えて電子メール等の方法で提供することが認められます。ただし、消費者が、これまで通り紙の伝票を希望する場合は、紙で渡す必要があります。
改正割賦販売法の主なポイント
1.加盟店におけるセキュリティ対策の義務化
(1)カード情報の漏えい対策(カード情報を盗ませない)
・加盟店におけるカード情報の「非保持化」
・カード情報を保持する事業者の国際的セキュリティ基準「PSI DSS」への準拠
(2)偽造カードによる不正使用対策(偽造カードを使わせない)
・カード決済端末のIC対応化100%の実現
(3)ネット取引における不正使用対策(ネットで「なりすまし」をさせない)
・パスワードによる本人認証、セキュリティコード等による多面的・重層的な不正使用対策の導入
2.加盟店の管理の強化
・カード加盟店を管理する事業者を登録制として、悪質な加盟店への調査を義務づけ
3.フィンテックの参入拡大を見据えた環境整備
・フィンテック(FinTech)企業等にも、加盟店契約会社と同一の登録制を導入
・カード利用明細票を電子メール等で発行することも可能
