改正割賦販売法により、EC事業者さまに必須の対応とは

2018年6月までに施行される改正割賦販売法は、クレジットカード情報を取り扱うEC事業者さまに対して、クレジットカード番号等の適切な管理や不正使用対策の実施を義務づけています。そこで今回は、EC事業者さまに求められる具体的な対応を解説いたします。

改正割賦販売法の目的

近年、クレジットカード情報の漏えい事故と不正使用被害の件数が増加しています。このため、安全なクレジットカード利用環境の整備にむけて、先般、セキュリティ対策の義務化を盛り込み割賦販売法が改正されました。この改正によって、EC事業者さまには以下の対応が求められます。
　

① クレジットカード情報の適切な保護措置（セキュリティ対策）の実施
② なりすましによる不正使用防止策の実施

EC事業者さまに必要な具体的なセキュリティ対策とは

上記の法改正を受けて、クレジット取引セキュリティ対策協議会が「クレジット取引セキュリティ対策協議会実行計画-2017-の概要について」を公表しました。

EC事業者さまにおける具体的な対応策として「クレジットカード情報の非保持化」または「PCI DSS」準拠と「多面的・重層的な不正使用対策」の実施が要請されています。

■クレジットカード情報の非保持化とは

クレジットカード情報の非保持化(以下「非保持化」)とは、EC事業者さまが所有する機器やネットワークに、お客さまのクレジットカード情報を「保存」「処理」「通過」させないことを指します。

■「通過型」と「非通過型」の違いとは

EC事業者さまの決済システムは大きく「通過型」と「非通過型」に分類できます。現在、クレジットカード情報を保持する仕組みをお持ちのEC事業者さまにおいて非保持化を実現するには、「非通過型」の決済システムのご導入が必要です。

・非保持化が難しい場合は「PCI DSS」準拠が必要

EC事業者さまがご用意した画面でクレジットカード決済をするには、カード情報をトークン（別の文字列）に変換して決済処理をする必要があります。または、決済代行会社が提供する画面を利用することで非保持化が実現できます。

このような対応が難しい場合、EC事業者さまは「PCI DSS」に準拠する必要があります。

「PCI DSS」とは、VISA 、MasterCard、JCB、American Express、Discoverの国際カードブランド5社が共同で策定したクレジット情報保護特化の国際セキュリティ基準です。「PCI DSS」準拠のための要求項目は約400にもおよぶため、多くの時間と労力、費用が必要となります。


■多面的・重層的な不正使用対策とは

非保持化を実現することで、クレジットカード情報の漏えいリスクは軽減されますが、ECサイトには、盗難カードの使用やなりすましなどによる不正使用被害リスクもあります。EC事業者さまには、以下のような「多面的・重層的な不正使用対策」の実施も求められます。

・本人認証（3Dセキュア）
クレジットカード決済時に、クレジットカード番号と有効期限の入力に加え、カード会員自身が設定したパスワードを入力することで、より確実な本人認証をする方法です。


・セキュリティコード
クレジットカード裏面に記載された番号を決済画面に入力してカードの真正を確認する方法です。セキュリティコードはカードを実際に所有しているお客さまだけが知り得る情報であるため、なりすましによる不正使用のリスクを抑制できます。


・不正検知
電話番号や住所などのお客さま情報を専用ページに入力し、商品発送やサービス提供前に不正使用を検知する方法です。過去の取引情報からリスク評価を行い、不正取引を判定する「属性・行動分析」や、データベースに蓄積された不正配送先情報を利用して商品の配送を停止する「配送先情報」の対策があります。

セキュリティ対策が不十分な場合のデメリット

決済代行会社やカード会社は、加盟店契約を締結したEC事業者さまがクレジットカード情報のセキュリティ対策を十分に行っているかどうかを定期的に調査します。その調査に応じない場合や対策が不十分だった場合には、加盟店契約が解除され、クレジットカード取引ができなくなります。

割賦販売法の改正により、EC事業者さまはより安全なクレジットカード利用環境の整備が必要です。法律の施行前までに、非保持化を実現し、かつ、多面的・重層的な不正使用対策の導入によって、安全にクレジットカード決済ができる環境を整えましょう。