2018年5月21日8:00
2018 年6 月1 日から、クレジットカードを取り扱う加盟店に対し、カード情報の非保持化あるいはPCI DSS(Payment Card Industry Data Security Standard) への準拠、そしてIC カード対応端末の設置などが義務付けられることになった。クレジットカードの規制法でもある割賦販売法が改正され、この6 月に施行されるからだ。17 年12 月に政省令が交付され、監督の基本方針案が示されたことで、その運用ルールも明らかになってきた。改正割賦販売法がカード加盟店にどのようなセキュリティ対策を求めているのか、適切な措置が取られているかをチェックするためにカード会社等が加盟店に対しどのような調査を行うのかを、法律や省令、監督の基本方針に基づいてみてみよう。
月刊消費者信用 編集長 浅見淳
割賦販売法が加盟店にセキュリティ対策を義務付ける
6月1日に施行される改正割賦販売法の目玉は大きく2つある。1つは、小売店等と加盟店契約を締結し加盟店業務を行うカード会社や決済代行業者(アクワイアラ等)に加盟店調査義務を課した点。もう1つが、加盟店に直接、セキュリティ対策義務を課した点だ。ただ、この2つは対になっており、加盟店調査によって、加盟店のセキュリティ対策の実施状況をチェックすることで、加盟店における義務の履行を確保するという枠組みになっている。また、当初の議論が、消費者トラブルの防止という観点から行われていたこともあり、加盟店調査には悪質加盟店の排除、消費者からの苦情の適切な処理体制の整備を促すという狙いも込められている。
加盟店の義務を定めた条文は2つある。1つ目は法35条の16で、その1項は「クレジットカード番号等取扱業者」は、クレジットカード番号等の「漏えい、滅失又は毀損の防止その他のクレジットカード番号等の適切な管理のために必要な措置を講じなければならない」と定める(以下、適切管理)。これだけでは、「クレジットカード番号等取扱業者」に該当するのは誰かがわかりにくいが、1項には1号~3号が置かれており、イシュア(1号)やアクワイアラ(2号)とともに、3号でカード加盟店がクレジットカード番号等取扱業者に当たると定められている。法文上は「クレジットカード等購入あっせん関係販売業者」「(同)役務提供事業者」と呼ばれている。
もう1つの条文は法35条の17の15。同条は、加盟店が「利用者によるクレジットカード番号等の不正な利用を防止するために必要な措置を講じなければならない」と定める。偽造カードやネット上の成りすましによる不正利用を防止する措置を加盟店に求めている(以下、不正利用防止)わけだ。
「性能規定」という考え方で省令は抽象的な表現に
加盟店にどのような措置が求められているかは、2つの条文はともに、経済産業省令で定める基準に従い」と書いてある。そこで、まず法35条の16に対応する省令132条1号をみると、「クレジットカード番号等の漏えい、滅失、毀損その他のクレジットカード番号等の管理に係る事故の発生を防止するため必要かつ適切な措置を講ずること」とあるだけで、法律の条文とたいしてかわらない抽象的な表現にとどまっている。(同条はこのほか、漏えい時の調査義務等を規定)
法35条の17の15に対応する省令133条の14も、「クレジットカード番号等の交付又は付与を受けた利用者によるものであるかの適切な確認その他の不正利用を防止するために必要かつ適切な措置を講ずること」と定めるのみで、不正利用防止は本人確認を含む概念であることは明らかになっても、それ以上のことが書かれているわけではない。
実は、今回の改正にあたっては、「性能規定」という考え方が採用されている。セキュリティ対策は不正の手口や技術の進歩によって絶えず見直す必要がある。法令で具体的に規定してしまうと、改正には一定の手続きを要するので、柔軟に見直しができない。そこで、「法令においてはセキュリティ確保に不可欠な機能のみを定め、その実現手段及び方法については、各事業者の創意工夫に基づく多様な手法に対してオープンなものとする」という考え方が取り入れられたのだ。
とはいえ、指針となるものがないと事業者は困惑する。そこで、経済産業省は「割賦販売法(後払分野)に基づく監督の基本方針)の改正案で、加盟店におけるクレジットカード番号等の適切な管理等については、「最新の技術動向等を踏まえて毎年見直しが行われる実行計画に掲げられる措置が実務上の指針となるもの」との考え方を示した。
そのうえで、「実行計画に掲げられた漏えい等の事故の防止措置又はそれと同等以上の措置を講じていること」、「実行計画に掲げられた不正利用の防止措置又はそれと同等以上の措置を講じていること」と記し、適切管理、不正利用防止ともに、実行計画に則った措置を行うことを求めている。
監督の基本方針はあくまでも監督行政に携わる当局の職員向けの手引きである。だが、それは反面、監督される事業者サイドのガイドラインとしても機能する。監督の基本方針は「実行計画に掲げる措置又はそれと同等以上の措置を講じている場合には『必要かつ適切な措置』が講じられているものと認められる」と明記しているが、事業者サイドからすれば、実行計画に基づいて対応していれば、法令違反を指摘されないとの解釈が明らかにされたといえる。
適切管理の基本はカード情報の非保持化
ここでいう実行計画は、クレジット取引セキュリティ対策協議会が策定する「クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画」を指す。2016年2月にとりまとめられたが、後述する「カード番号等の非保持化」の要件の明確化などを行ったうえで、17年3月に2017年版が公表された。
そこで、実行計画2017年版を参照すると、カード番号等の保護に関しては、「第一の対策として非保持化を基本とした取組を推進する」との方針を打ち出した。カード情報を持たなければ流出する心配はないのだから、まず、持たないようにしようという発想だ。
実行計画は「非保持化」の定義も定めており、「自社で保有する機器・ネットワークにおいて「カード情報」を『保存』、『処理』、『通過』しないこと」と定義した。読み替えると電磁的に記録・送受信しなければよく、伝票などの紙媒体で保存されているだけなら非保持化をしていることになる。
ただし、非保持化はECショップなどの非対面加盟店と対面加盟店では方法が異なる。実行計画は、非対面加盟店については、PCI DSS準拠済みのPSP(決済代行業者)が提供する、①カード情報の非通過型(「リダイレクト(リンク)型」、または②「Java Scriptを使用した非通過型」の決済システムの導入を求めた。加盟店のサーバに一度記録されたカード番号等をPSPに送付した後に消去することで非保持化するケースもあったが、そうした「通過型」は加盟店の意図に反してカード番号等が保存されてしまうリスクもあるため、認められなかった。
通過型を採用している、あるいは自社サーバでカード番号を受け付け、決済電文を生成している場合は、PCI DSSに準拠しなければならない。PCI DSSは国際ブランドが共同で策定した国際的なセキュリティ基準。日本カード情報セキュリティ協議会のサイト(http://www.jcdsc.org/)に詳しい。
対面加盟店が非保持化する方法
一方、対面加盟店については、①POSの機能と決済を分離し、②IC対応した決済専用端末からカード情報を電磁的情報で自社内に取り込まないことが要件になる。実行計画では「決済専用端末連動型」(外回り)と「ASP/クラウド接続型」(外回り)が、この要件を満たすものと位置付けている。この2つの方式の違いは、カード決済を処理するための電文(カード番号等が含まれている)を生成・送信する機能をもった決済専用端末(一般にCCTと呼ばれる)を使って電文を直接、情報処理センターに送るのか(同センター経由でカード会社に送達される)、読み取り機能しかない端末で読み取ったカード番号等をASP/クラウドセンターに送り、そこで電文を生成し、情報処理センターに送るのかの違いである。POSレジとは金額や決済結果(可否のみ。カード番号等は含まない)のみを連携する。これらの仕組みを構築すれば、加盟店のPOSシステム(回線・サーバ)をカード番号等は通過することはないので、非保持化と認められる。
これに対し、カード番号をPOSシステム経由で、自社の決済サーバに送信して電文を生成する、あるいはASP/クラウドセンターに送信してセンターで電文を生成する場合のように、加盟店がカード番号等を保持する場合は、PCI DSSに準拠しなければならない。ただし、暗号化等の処理によりカード番号を特定できない状態とし、自社内で復号できない仕組みとすれば、非保持と同等/相当のセキュリティが確保できるものとして扱うことが2017年版で明らかにされた。
こうした措置をいつまでに行えばよいかも実行計画で定められている。日本におけるカード番号等の漏えい事故のほとんどが非対面加盟店で起きていることから、非対面加盟店についてはリスクの高さを考慮し、2018年3月が期限とされた。対面加盟店は2020年3月が期限となる。
対面加盟店はIC化で不正利用を防止
不正利用防止については、対面加盟店における偽造防止対策と非対面(EC)加盟店におけるなりすまし防止(本人確認の強化)に分かれる。
まず、対面加盟店がとるべき措置は明確で、実行計画が「現状では IC 取引の実現が、カードの偽造防止の唯一無二の対策である」と指摘しているとおり、ICカードを読み取れる端末の導入が求められる措置である。ただし、対面加盟店のうち専門店などはIC対応のCCTをすでに設置しているので、IC対応はすでに完了している。焦点となっているのはPOSシステムを保有する大型店やチェーンストアで、ほとんどがIC未対応という現実がある。POSレジを改修したり、POSレジとICカードリーダーを連動させたりしてICカードを処理できるようにすればよいが、同時にカード番号等の非保持化を図るという課題もあるので、具体的なスキームは各社・各業種の実情に合わせて適切な方法を検討しなければならない。なお、2017年版の実行計画では、ICカードを処理する際のオペレーションルール(本人確認方法など)が定められているので、システム改修する際は「ICカード対応POSガイドライン」(初版)を踏まえる必要がある。IC化の期限は2020年3月。
非対面加盟店については、3-Dセキュアやセキュリティコードなどの方策を基本とした「多面・重層的な不正使用対策を講じる」こととされている。セキュリティコードはカードの裏面のサインパネルの右上に記載された3ケタの数字を入力する方法で、実物のカードを保有している者にしか分からないという点で、サーバから流出したカード番号等の不正利用を防ぐことができるが、カードの盗難・紛失の場合は不正利用の防止策とはなりえない。3-Dセキュアはカード会社に登録した任意の文字列パスワードに用いるもので、盗難・紛失時の防止策にもなりうるが、本人が任意に設定したパスワードは他のパスワードと同じものが使われていることも多く、万全とはいえない。このため、実行計画はこれらを基本的な対策として例示しながらも、多面・重層的な措置を求めている。期限は2018年3月。
加盟店調査を通じて加盟店の対策を促す
改正割賦販売法は、実行計画に則った加盟店の対応を確保するための枠組みも設けている。それが、アクワイアラ等に義務付けられた加盟店調査義務である。改正割賦販売法は、加盟店契約を新規に締結する際の初期調査と契約締結後の途上調査(さらに定期調査と随時調査に分かれる)に区別して規定している。
初期調査について規定しているのは、法35条の17の8第1項。「クレジットカード番号等取扱契約締結事業者」は、加盟店契約の締結に先立って、経済産業省令で定めるところにより、加盟店に関し、(適切管理または不正利用防止に)「支障を及ぼすおそれの有無に関する事項であって経済産業省令で定める事項を調査しなければならない」と定める。もし、加盟店の措置が法令で求める基準に適合していないか、適合しないと認められる場合は、加盟店契約は禁止される(同条2項)。
ここでいう「クレジットカード番号等取扱契約締結事業者」とは、加盟店業務を行うカード会社(アクワイアラ)やPSPのうち、法律に基づいて登録を行った事業者を指す。
途上調査について規定しているのは、同条3項。登録アクワイアラ等は「定期的に、又は必要に応じて、経済産業省令で定めるところにより、第一項に規定する事項を調査しなければならない」と定める。
定期調査は初期調査事項について変更がないかという観点からも行われるし、たとえばセキュリティ対策が完了していない場合はその進捗を管理したり、あるいは過去に実施したセキュリティ対策が現状においても十分な効果をあげているかをチェックしたりする意味合いがある。
3項の「必要に応じて」行う調査が随時調査だが、これは特商法や消費者契約法に違反する行為が発覚したり、苦情が他の加盟店に比べて頻発したりしている場合、あるいはカード番号等の漏えい事故等や不正利用防止に支障が生じた場合等に行われるもので、いわば危機管理のための調査といえる。
4項は、定期調査と随時調査によって加盟店が措置する①利用者の保護に欠ける行為の防止体制、苦情処理体制、②適正管理体制(委託先の指導を含む)、③不正利用防止策が法令の求める基準に適合しない、あるいはしないおそれが生じた場合、登録アクワイアラ等は「(加盟店)契約の解除その他の経済産業省令で定める必要な措置を講じなければならない」と定める。
解除その他の措置について定めている省令133条の9は、①合理的な期間内に基準に適合した措置を講じるよう指導(1号)、②(カード番号等の漏えい等があった場合などは)類似の漏えい等の事故の再発防止のために必要な措置を講じる(2号)、③不正利用の発生状況をふまえ、類似の不正利用の再発防止のために必要な措置を講じるよう指導する(3号)ことを義務づけている。もし加盟店が指導に従わない、基準に適合する見込みがない場合は契約解除を求められる(4号)。
初期調査、途上調査の調査事項と方法は省令が示す
このように、登録アクワイアラによる加盟店調査は3段階に分けて行われるが、各段階の調査事項と方法は省令に規定されている。表1~3はそれぞれ初期、定期、随時における調査項目と方法を省令に基づいてまとめたものだ。法律では初期調査と定期調査の調査項目は同じとされているが、省令では定期調査と随時調査の調査対象が限定されている。
いずれにしても、加盟店は加盟店契約を締結する際はもちろん、締結後も定期的に、または必要に応じて登録アクワイアラの調査を受けなければならない。
注意したいのは、調査主体がどの事業者になるかだ。カード会社と直接加盟店契約を締結している場合は、そのカード会社が登録アクワイアラ等として調査を担うことになる。ただ、PSPを介してアクワイアラと加盟店契約している場合(EC加盟店に多い)は、実質的に加盟店契約を締結したり解除したりする権限をもつほうが調査主体となる。アクワイアラとPSPのどちらが加盟店調査を担うかは両者が協議し、ケースバイケースで判断することになると思われる(途上調査も同じ)。
また、定期調査のうち、基本的事項と取扱商材に関しては、「1年に1度を目安」として運用することが、前述の監督の基本方針で登録アクワイアラ等には求められた。ただし、すべての加盟店に対し逐一調査するのではなく、変更があった場合に加盟店が報告するように加盟店契約で規定するなど、変更を把握するために措置が必要とされたので、加盟店は契約の変更等に協力する必要があるだろう。なお、加盟店契約を見直す際のモデル約款が、経済産業省から示されているので、加盟店は参照されたい(http://www.meti.go.jp/press/2017/07/20170703002/20170703002.html)。
