割賦販売法 2016年改正のポイント/セキュリティ対策の「実行計画」を加速する枠組みを導入

2017年5月10日7:25

割賦販売法の改正法案が2016 年12 月2 日に成立し、同9 日に公布された。公布から1 年6 カ月以内に施行されることになっており、遅くとも2018 年の6 月8 日までに施行される。今回の法改正は、消費者トラブルの元である悪質加盟店の排除もさることながら、加盟店におけるセキュリティ対策を確実に推進することに主眼が置かれているといってよい。イシュアとアクワイアラが異なるオフアス取引、あるいは決済代行業が介在する取引が増加している実態に対応し、アクワイアラや決済代行業の登録制が新たに導入される点も見直しのポイントだが、登録アクワイアラ等に加盟店の調査義務を課すことで、加盟店のセキュリティ対策を促進する意味合いが込められている。

一般社団法人 金融財政事情研究会 月刊「消費者信用」編集長 浅見淳

アクワイアラとPSPに登録制を導入

割賦販売法の見直しの方向性を決めるのは、経済産業省の産業構造審議会・商務流通情報分科会の下に設けられた割賦販売小委員会である。前回の2008年改正でもこの小委員会が議論を重ねたが、今回の改正で特筆されるのは、同小委員会が2度にわたって検討を行い、2つの報告書を取りまとめている点だ。2014年9月から15年7月までの13回にわたる議論の成果を取りまとめた「15年報告書」と、16年4月から6月までの検討結果を集約した「追補版」である。ともに「クレジットカード取引システムの健全な発展を通じた消費者利益の向上に向けて」と題されているが、主題となったテーマが少し異なっている。

セキュリティ対策促進のための改正割賦販売法の枠組み

15年報告書の議論は、出会い系サイトや偽ブランド品のネット販売などで、クレジットカード決済による消費者トラブルが増加しているという指摘を受けて始まった。だが、議論を進めるうち、マンスリークリアのカード決済がトラブルを誘引するわけではなく、イシュアとアクワイアラが異なる、いわゆる「オフアス取引」が増加していること、あるいは決済代行業(報告書ではPSP(Payment Service Provider)と呼ぶ)が介在する取引が増加していることで、加盟店審査・管理が甘くなるとともに、被害の救済を難しくしているという実態が認識されるようになった。

そこで、こうした取引構造の変化に合わせて、アクワイアラやPSPに登録制を導入、加盟店審査等の業務を適切に行うための内部管理体制が整っていない事業者を排除する参入障壁を設けることとした(改正法35条の17の2~7)。加えて、加盟店調査義務を設け、加盟店を新規に行う場合に一定の審査を行い、消費者トラブルの防止とセキュリティ対策の観点から、法令の求める水準に達していない加盟店については、加盟店契約の締結を禁止。加盟店契約締結後に問題が発覚した場合はアクワイアラやPSPが加盟店を指導して改善を求めるが、是正の見込みがない場合などは加盟店契約を解除しなければならないこととした(35条の17の8)。

米国のIC 対応が進展しセキュリティ対策が急務に

だが、15年報告書が取りまとめられた後、クレジット行政はセキュリティ対策に軸足を移すようになる。量販店などからカード情報流出事故が相次いだアメリカが、政府主導でICカード対応に動き出したからだ。2014年3月には国際ブランド、銀行、加盟店などがタスクフォースを結成し、目標を設定。15年10月には、加盟店がIC対応していないために防げなかった偽造カード被害については、その責任をアクワイアラ及び加盟店に転嫁するライアビリティシフトが実施された。これにより、アメリカにおけるIC対応が急速に進んだことで、日本もIC対応等に取り組まないと、日本がセキュリティホールと化して、不正利用のターゲットにされるとの危機感が政府とカード業界で共有されるようになった。

2015年3月には、経済産業省の肝入りで、「クレジット取引セキュリティ対策協議会」が発足。16年2月に「クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画-2016-」を取りまとめた。

実行計画には大きく3つの柱がある。第1のカード情報保護に関しては、まず非対面加盟店(EC等)は2018年3月までにカード番号等を保有しない「非保持化」あるいは「PCI DSS」(国際ブランドが定めたカード情報保護のための国際基準)への準拠を完了することになった。一方、対面加盟店については、その期限は2020年とされた。

第2のカード偽造防止対策に関しては、独自のPOSシステムを導入しているためIC対応が進んでいない大型加盟店に焦点が当てられ、2020年3月までにIC対応を完了させることになった。その際は、POSシステムにIC対応のクレジットカード決済単末(CCT)を接続し、カード情報はPOSシステムを経由させずに、業界団体等が設立するセンターに送ることで、カード情報の非保持化も同時に実現するスキームが有効であると位置づけられた。

第3のECにおける不正使用対策は、本人認証を強化することを意味する。決済時にカード会員があらかじめ設定したパスワードを入力する「3-Dセキュア」という認証の導入が有効とされているが、パスワードを使い回すユーザーが多いため、絶対的な対策となりえないこと、また大手ECサイトは独自のIDとパスワードで本人認証をしている実態に配慮し、18年3月までに多面的・重層的な不正対策を講ずることを目指すこととされた。

国際ブランド、カード会社、PSP、加盟店の業界団体、セキュリティ専業者などが参画した同協議会は、カード取引に関連する主要な事業者やその団体が参加した組織である。そこでコンセンサスを築いた実行計画は、行政の後ろ盾もあって、事業者に対する一定の拘束力を有しているとはいえよう。だが、すべての加盟店団体が協議会に参加したわけではなく、セキュリティ対策の必要性に対する認識には温度差があった。実行計画を確実に遂行していくためには、もう一段の措置が必要だと考えた経済産業省は、再び割賦販売小委員会を招集し、セキュリティ対策の観点から再度議論を行った。

15 年報告書から方針転換
加盟店に直接義務を課す

その2度目の検討の結果を取りまとめた追補版では、15年報告書から大きな方向転換が行われた。15年報告書では、改正個人情報保護法がクレジット番号を個人識別情報と位置付ける可能性を含みつつ、該当するとされた場合はカード情報の保護は個人情報保護法の枠組みのなかで担保し、該当しないとされた場合にのみ、「割賦販売法による安全管理に係る努力義務を措置すべきである」としていた。

ところが、追補版はさらに踏み込んで、個人情報保護法の適用範囲の如何にかかわらず、「加盟店に対して、努力義務にとどまらず、義務(違反に対して一定の制裁措置が規定されるもの)を課(す)」方針を打ち出したのだ。実行計画の実効性を高めるためには、加盟店に対し直接セキュリティ対策を講ずる法的義務を課す必要があると判断したのである。努力義務から法的義務への転換は、非常に大きな意味をもつ。

その方針転換を反映した改正法の条文は、35条の16と35条の17の15である。

まず、35条の16はクレジットカード番号等を適切に管理する義務を課す規定だ。「クレジットカード番号等取扱業者」は、「漏えい、滅失又は毀損の防止その他のクレジットカード番号等の適切な管理のために必要な措置を講じなければならない」と定められている。割賦販売法は、基本的にリボルビングや分割払いによるカード取引を規制対象としているが、マンスリークリア等(法律上は二月払購入あっせん)取引によるカード番号等も保護の対象となる点には留意が必要だ。

カード番号等の適切な管理義務を課せられるのは、カード番号を取り扱う事業者であり、同条の1項1号でイシュアが、2号でオフアス取引のアクワイアラとPSP、そして3号で加盟店が該当すると定められている。さらに3項では、カード番号等取扱業者は、業務委託先(カード番号等の取扱いの全部または一部の委託を受けた事業者)に対し指導などを行う義務も負っている(委託先の委託先〈数次にわたる委託先も〉対象になる)。

現行法でもイシュアとアクワイアラ(合わせてカード会社)に対しては、カード番号等の適切管理義務が課せられている。ただし、加盟店に対しては直接義務を課さず、カード会社が指導する義務を負うという枠組みだった。それが改正法では、「追補版」が示した通り、加盟店に対しても直接に法的義務が課せられた。これに伴い、経済産業省は加盟店に対しても報告を求め、立ち入り検査ができるようになる。業務改善命令を発する権限までは与えられなかったが、カード会社の加盟店調査義務や加盟店契約の解除義務を通じて、加盟店の是正を促すことができる枠組みになっているといえるだろう。

page toppagetop