割賦販売法改正に伴うセキュリティ対策の取組みについてのお知らせ｜日商連

Top
割賦販売法改正に伴うセキュリティ対策の取組みについてのお知らせ

インフォメーション

2023.5.26

割賦販売法改正に伴うセキュリティ対策の取組みについてのお知らせ

さて、2018年6月1日に「割賦販売法の一部を改正する法律」（改正割賦販売法）が施行され、クレジットカードを取り扱う加盟店において、「クレジットカードの適切な管理」や「クレジットカード番号の不正利用の防止」を講じることが義務付けられることになりました。

これに関連して、この法律を所管する経済産業省より、カード会社との間で契約を締結している加盟店様に対して、改正割賦販売法について周知するよう要請がありました。

つきましては、以下の内容についてご理解をいただき、必要な対応を行っていただきますようお願い申し上げます。

※具体的なセキュリティ対策はクレジット取引対策協議会が取りまとめた「クレジットカード・セキュリティガイドライン」が実務上の指針と位置付けられております。

【クレジットカードを取り扱う加盟店様にご対応いただくこと】

〇カード情報保護※について適切な保護装置をとること。（非保持化又はPCI DSS準拠）
〇不正使用対策として、対面加盟店ではICカード決済が可能な端末を設置し、EC（ネット取引）加盟店では、なりすましによる不正使用防止対策をとること。

※カード情報保護について

〇非保持化とは、「カード情報」を電磁的に送受信しないこと、すなわち「自社で保有する機器・ネットワークにおいて「カード情報」を電磁的情報として『保存』『処理』『通貨』をしないこと」をいいます。

なお、決済端末機から直接、外部の情報処理センター等にカード情報を伝送している場合は非保持とします。

〇PCI DSS（Payment Card Industry Data Security Standard）とは、クレジットカード会員データを安全に取り扱う事を目的として策定された国際基準です。

※日本カード情報セキュリティ協議会のホームページをご参照ください。

https://www.jcdsc.org/pci_dss.php

　〇カード番号を保持する場合には、原則PCI DSS準拠が必要ですが、対面加盟店において、暗号化等の処理によりカード番号を特定できない状態とし、自社内で複合できない仕組みであれば非保持化と同等／相当のセキュリティ措置として扱うことができる場合があります。

●決済専用端末（CCT）を設置している加盟店

〇カード会社より貸与されているICカードに対応した決済専用端末（カードをスワイプするのではなく差し込んでデータを読み取り、暗証番号を入力する方式）を設置し、外部の情報処理センター等に直接伝送している場合には、カード情報保護対策も不正利用対策（偽造防止対策）もすでに対応が済んでいますので、新たな対応は必要ありません。ご不明な点があれば、当組合にお問い合わせください。

〇一方、ICカードが読み取れない端末であれば、ICカードが読み取れる端末への置き換えが必要です。

●POSシステムと端末間で、取引金額、決済結果等を連動させている加盟店

〇クレジットカード情報保護対策については、POSシステム等にカード情報を連携せずに、端末から直接外部の情報処理センタ等に伝送している場合は、非保持化（上の非保持化の定義同様、および相当のセキュリティ措置を含む。以下同じ。）の取扱いとなります。カード情報をPOSシステム等に連携している場合は、PCI DSS準拠が必要です。（上述の「※カード情報保護について」参照）

　〇ICカードに対応した決済端末（暗号番号の入力方式）が設置されていれば、不正利用対策（偽造防止対策）はすでに済んでいますので、新たな対応は必要ありません。

　〇一方、ICカードに対応していない端末であれば、ICカードに対応した端末への置き換えが必要です。

　〇ご不明な点があれば、POS機器メーカーにお問い合わせください。

●カード処理機能を持ったPOSを設置している加盟店様

　〇カード情報保護については、非保持化またはPCI DSS準拠が必要です。（上述の「※カード情報保護について」参照）

　〇ICカードに対応したPOS（暗唱番号を入力する方式）が設置されていれば、不正利用対策（偽造防止対策）はすでに済んでいますので、新たな不正利用対策（偽造防止対策）は必要ありません。

　〇一方、ICカードに対応していないPOS（スワイプして磁気で読み取る方式）であれば、ICカードに対応したPOSに置き換えを行うか、ICカードに対応した決済端末を導入し、POSに接続する必要があります。

　〇ご不明な点があれば、POS機器メーカーにお問い合わせください。

●EC（ネット取引）加盟店

　〇カード情報保護対策については、非保持化またはPCI DSS準拠が必要です。（上述の「※カード情報保護について」参照）

　〇EC加盟店において、決済代行業者（PSP）が提供するシステムを利用する場合があります。

この場合、加盟店の機器・ネットワークを通過する「通過型」と、通過しない「非通過型」に大別されますが、通過型の場合には、カード情報を窃取されるリスクがあるので、「非通過型」を推奨しております。どちらかの仕組みを導入しているかについては、契約先の決済代行業者にご確認ください。なお、「通過型」の場合には、カード情報を保持することになりますので、EC加盟店においてPCI DSS準拠が必要です。

　〇非対面取引におけるクレジットカードの不正利用対策各加盟店の業種・取扱商材・リスクの状況に応じて、不正利用対策をする必要があります。パスワードの入力等により本人が利用していることを確認できる仕組みや、申込者の過去の取引情報などから不正な取引かどうか判定する手法の導入等、多面的・重曹的な不正使用対策を行う必要があります。

【一般社団法人日本クレジット協会】

●改正割賦販売法（割賦販売法の一部を改正する方法について）

https://www.j-credit.or.jp/download/170126_news_a1.pdf

　●改正割賦販売法（「割賦販売法が改正されました」リーフレット）

https://www.j-credit.or.jp/download/170126_news_a5.pdf

　●クレジットカード・セキュリティガイドライン

　　※「実行計画」は「クレジットカード・セキュリティガイドライン」に継承されています。

https://www.j-credit.or.jp/security/document/index.html

　●具体的なセキュリティ対策

　　加盟店（クレジットカードを取り扱うお店）の皆様へ

https://www.j-credit.or.jp/security/understanding/member-store.html

　●その他

　　＊クレジットカード不正使用被害の発生状況（2016年12月）

https://www.j-credit.or.jp/download/170126_news_a3.pdf

　　＊クレジットカードがより安全・安心なIC取引に代わります！（リーフレット）

https://www.j-credit.or.jp/download/170126_news_a4.pdf

【本件に関するお問い合わせ】

　協同組合エヌシー日商連

　〒105-0011　東京都港区芝公園３－５－８　機械振興会館内

　TEL.０３－３４３３－３９９４

【別記載の説明会の要請先】

一般社団法人日本クレジット協会

担当：「業務企画部」又は「セキュリティ対策推進センター」

〒103-0016 東京都中央区日本橋小網町 14-1

TEL:03-5643-0011 email: gykikaku1@jcredit.jp 又は gykikaku2@jcredit.jp

（別記）改正割賦販売法に伴うセキュリティ対策の取組みついて

１．改正割賦販売法

（趣旨・概要）

近年、クレジットカードを取り扱う加盟店におけるクレジットカード番号等の漏えい事件や不正使用被害が増加（不正使用被害額はネット取引の増加にも伴い、平成 24 年の 68.1 億円から近年は右肩上がりで上昇し、平成 28 年には推計で約 142.45 億円に達すると見込まれている）しています。また、クレジットカード発行を行う会社と加盟店と契約を締結する会社が別会社となる形態（いわゆる「オフアス取引」）が増加し、これに伴ってクレジットカードを取り扱う加盟店の管理が行き届かないケースも出てきています。

こうした状況を踏まえ、

①クレジットカードを取り扱う加盟店に対し、クレジットカード番号等の適切な管理や決済端末の IC 対応化等のセキュリティ対策を講じることの義務づけ

②加盟店に対し、クレジットカード番号等を取り扱うことを認める契約を締結する事業者（アクワイアラー（加盟店契約会社）等）について登録制度を創設するとともに、上記①の加盟店によるセキュリティ対策の実施状況を確認するための調査を実施することの義務付け等を盛り込んだ「割賦販売法の一部を改正する法律」（以下｢改正割賦販売法｣という。）が、昨年（2016年）12月２日に国会において可決・成立し、同月９日に公布されました。

（施行期日）

同法の施行期日は、公布日（昨年12月９日）から１年６ヶ月以内の政令で定める日とされており、2018年６月８日までに施行される予定です。

（法改正内容）

法改正内容等については、一般社団法人日本クレジット協会のホームページをご参照ください（下記のURL参照）。なお、ご不明な点等については、当社（契約するアクワイアラー（加盟店契約会社））よりご説明をさせていただきます。

また、改正割賦販売法全般についてのお問い合わせについては、下記の経済産業省のお問い合わせ先にご連絡をお願いいたします。

２．加盟店におけるセキュリティ対策の取組み

クレジットカード取引に関連する事業者等で構成される「クレジット取引セキュリティ対策協議会」（事務局：（一社）日本クレジット協会）において、本年３月８日に、「クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画 -2017-」（昨年２月に公表した「実行計画 -2016-」の改訂版）を策定しました。この実行計画は、加盟店が改正割賦販売法上のセキュリティ対策義務を満たすための具体的な措置内容についての指針になり得るものであり、ご要望に応じ、（一社）日本クレジット協会又は経済産業省よりご説明いたします。

【経済産業省のお問い合わせ先】

商務情報政策局商務流通保安グループ商取引監督課

直通電話：03-3501-2302