個人商店にもクレカのセキュリティ対策義務化「改正割賦販売法」徹底解説

2016年12月9日に改正割賦販売法が公布されたことをご存じだろうか。

クレジットカード取引などに関わるルールを規定した同法の改正は、カード取引を行う小売店や飲食店に影響を与える。

施行予定は2018年6月。改正内容をチェックし、早期に対策を講じることが不可欠だ。

割賦販売法とは、商品代金やサービス代金の分割払いなどに関する法律で、クレジット取引の公正化、消費者の利益保護などを目的に1961年に制定された。飲食店や小売店が扱うクレジットカードの取引ルールも、この法律により規定されている。

 制定以来、何度か改正が行われてきており、2016年12月に公布された改正は大きなインパクトを与えるものとなった。現行法からの変更点はいくつかあるが、主な改正項目は図1の通り。施行期日は、公布から1年6カ月以内の政令で定める日とされていることから、遅くとも2018年6月には改正規定が施行されることになる。

■図1 改正割賦販売法の措置事項概要

加盟店管理の強化
●加盟店に対してクレジットカード番号をなどを取り扱うことを認める契約を締結する事業者(アクワイアラー:加盟店と契約を結ぶ会社)について、登録制度を創設すると共に加盟店への調査などを義務付ける(改正法35条17の2/17の8)。
クレジットカード情報の適切管理および不正使用防止
●加盟店に対し、クレジットカード番号などの情報管理や自ら委託先に情報管理に関わる指導などを行うことを義務付ける(改正法35条の16)。
●加盟店に対し、クレジットカード端末のIC対応化などによる不正使用対策を義務付ける(改正法35条17の5)。
フィンテックのさらなる参入を見据えた環境整備
●アクワイアラー(加盟店と契約を結ぶ会社)と同等の位置付けにある決済代行業者(フィンテック企業など)も、アクワイアラーと同一の登録を受けられる制度を導入する(改正法35条17の2)。
●加盟店のカード利用時の書面交付義務を緩和する(改正法30条2の3)。

加盟店にも遵守義務

 今回の改正における主要なポイントは、「クレジットカード情報の適切管理義務(改正法35条の16)および不正使用の防止義務(改正法35条17の5)」である。そして、「クレジットカードを扱う販売業者(以下、加盟店)が法律の義務主体となった」(経済産業省商取引監督課)ことが、最も大きな改正点だ。

 現行法でもカード番号情報などの安全管理に関する措置は規定されているが、その義務を負うのはカード発行会社などであり、加盟店は法律適用の対象外とされてきた。

 このため、加盟店の安全管理に対する取り組みはカード発行会社などからの指示に従う受け身の姿勢でよかった。だが、改正により加盟店も義務主体として責任を負うことになったため、「積極的に法律を遵守することが求められる」(同前)。セキュリティ対策が不十分な場合には、義務違反に問われることになる。

 この改正は、事業規模などに関係なく、個人経営の店舗から複数店舗をチェーン展開する大手・中小事業者まで、クレジットカードを取り扱うすべての加盟店に適用される。

 加盟店にもセキュリティ義務が課された背景には、クレジットカード取引における「日本のセキュリティホール化」への懸念がある。

 世界の潮流として、セキュリティに優れたクレジット決済端末のIC化が進む中、後進国の代表格が日本と米国であった。だが、クレジットカード不正使用大国といわれた米国は大規模漏えい事件(*1)を契機に、大手小売業を中心としたIC化を推進。2015年までに対応をほぼ完了し、IC取引率が大幅に向上した。

 これに対し、日本はカードのIC化率は75%を超えているが、POSなどに対応する決済端末では17%程度。いまだ、セキュリティが脆弱で偽造されやすい磁気ストライプによる決済が主流で、アジア諸地域と比べてもIC化の環境整備が遅れている。

 そうした中、外国人観光客によるインバウンド消費の増加や東京オリンピック・パラリンピック開催など、カード使用機会はますます増えることが予想される。クレジットカードの不正使用に国境は関係ないだけに、セキュリティ的に取り残された日本が世界中の犯罪者から集中的に狙われるリスクがあるという。

 実際、国内のクレジットカード不正使用被害は増えている(表)。日本クレジット協会の統計では、被害額が2014年以降増加。2017年は上半期だけで、すでに118億円を超え2015年の年間被害額に迫る勢いである。それだけに、早急にカード環境のセキュリティ強化が求められ、加盟店にも安全管理や不正使用防止の義務が課されたというわけだ。

■表 クレジットカード不正使用被害の発生状況


 

決済端末IC対応が不可欠

 では、加盟店は具体的にどう対策を行えばよいのだろうか。その実務上の指針とされるのが、関係企業団体などにより組織されたクレジット取引セキュリティ対策協議会が策定する「実行計画」だ。

 内容は毎年更新され、最新版の「実行計画2017」で示されている対策は図2の通り。概略を見ておこう。

 まず、クレジットカード情報の適正管理義務については、「カード情報の非保持化」か「PCI DSS準拠」が求められている。これは、決済端末やシステムへのハッキングなどによる情報流出を防ぐ対策だ。

 非保持化とは、社内で保有するシステム内にカード情報を保存しないだけではなく、データの処理や通過が社内システムで行われないことも要件となる。

 漏えい対策としては非保持化が最も安全といえるが、カード情報と顧客の購買履歴などを紐づけて管理しているケースや、情報が社内システムを経由して決済される仕組みの場合などは、カード情報のセキュリティ規格であるPCI DSS(または同等規格)に対応しなければならない。

 POSレジなど自社開発でのシステムにおけるカード決済では、意図しないカード情報の保有や処理が行われていたり、データが通過している可能性もあるため確認が必要だ。

 カードの不正使用防止では、実店舗とネット通販(EC)で求められる対策が異なる。対面販売では、決済端末のIC化が義務付けられた。未対応の場合には、IC対応機器にリプレイスしなければならない。

 決済端末IC化は、偽造カード対策が大きな狙いだ。カードをスワイプして情報を読み取る磁気カードは、偽造しやすい。「現在の技術ではIC型クレジットカードを偽造することはほぼ不可能」とされ、クレジット取引のIC化は偽造カード不正使用への唯一無二の対策という。

 また、ECでのカード取引では「なりすまし」による不正使用対策が求められている。カード番号と有効期限の入力だけでなく、パスワード入力による認証や購買履歴データからの分析など、本人を確認できる仕組みの構築が必要となる。

 留意点は、これら実行計画の環境整備には対応期限があること。EC加盟店は、被害額に占める割合(表の番号盗用被害)が大きいことから、法施行日よりも早い2018年3月までの完了を目指すこととしている。

 対面加盟店については、施行日を基本として2020年3月が目標期限とされている。これは、大規模加盟店に配慮してのこと。小規模な店舗では機器などの入れ替えだけで比較的短い期間で対応しやすいが、POSシステムなどを導入している企業などにとっては時間と労力、コスト負担が大きいからだ。

 いずれにしても、契約しているカード会社などから対策に関する説明があるはずだ。とはいえ、前述したように義務主体となる以上は、加盟店自らが積極的に対応していくことが求められる。義務に違反したとしても直接の罰則規定はないが、行政による立入検査などが行われることになる。

 さらに、加盟店契約を結ぶカード会社に加盟店調査が新たに義務付けられており、加盟店はこれに応じる必要がある。カード番号情報の適切管理や不正利用対策を講じていないとなれば、最終的には契約解除となる。早めに対応することが、自らにも顧客にとっても安心だろう。

■図2 「実行計画2017」に基づく加盟店セキュリティ対策