改正割賦販売法により、EC事業者さまに必須の対応とは

2018年6月までに施行される改正割賦販売法は、クレジットカード情報を取り扱うEC事業者さまに対して、クレジットカード番号等の適切な管理や不正使用対策の実施を義務づけています。そこで今回は、EC事業者さまに求められる具体的な対応を解説いたします。

改正割賦販売法の目的

近年、クレジットカード情報の漏えい事故と不正使用被害の件数が増加しています。
このため、安全なクレジットカード利用環境の整備にむけて、先般、セキュリティ対策の義務化を盛り込み割賦販売法が改正されました。
この改正によって、EC事業者さまには以下の対応が求められます。
　

① クレジットカード情報の適切な保護措置（セキュリティ対策）の実施

② なりすましによる不正使用防止策の実施

EC事業者さまに必要な具体的なセキュリティ対策とは

上記の法改正を受けて、クレジット取引セキュリティ対策協議会が「クレジット取引セキュリティ対策協議会実行計画-2017-の概要について」を公表しました。

EC事業者さまにおける具体的な対応策として「クレジットカード情報の非保持化」または「PCI DSS」準拠と「多面的・重層的な不正使用対策」の実施が要請されています。

クレジットカード情報の非保持化とは

クレジットカード情報の非保持化(以下「非保持化」)とは、EC事業者さまが所有する機器やネットワークに、お客さまのクレジットカード情報を「保存」「処理」「通過」させないことを指します。

「通過型」と「非通過型」の違いとは

EC事業者さまの決済システムは大きく「通過型」と「非通過型」に分類できます。現在、クレジットカード情報を保持する仕組みをお持ちのEC事業者さまにおいて非保持化を実現するには、「非通過型」の決済システムのご導入が必要です。

分類	概要
通過型	EC事業者さまの機器やネットワークをクレジットカード情報が「通過」し、「処理」されるシステム。 EC事業者さまが意図しないところでクレジットカード情報が「保存」される場合があり、セキュリティを突いて窃取されるリスクがある。
非通過型	決済代行会社の機器やネットワークを「通過」し「処理」されるシステム。 EC事業者さまの機器やネットワークを通過しないため、クレジットカード情報漏えいのリスクが低い。

非保持化が難しい場合は「PCI DSS」準拠が必要

EC事業者さまがご用意した画面でクレジットカード決済をするには、カード情報をトークン（別の文字列）に変換して決済処理をする必要があります。または、決済代行会社が提供する画面を利用することで非保持化が実現できます。
このような対応が難しい場合、EC事業者さまは「PCI DSS」に準拠する必要があります。
「PCI DSS」とは、VISA 、MasterCard、JCB、American Express、Discoverの国際カードブランド5社が共同で策定したクレジット情報保護特化の国際セキュリティ基準です。「PCI DSS」準拠のための要求項目は約400にもおよぶため、多くの時間と労力、費用が必要となります。