加盟店(クレジットカードを取り扱うお店)の皆様へ

1.割賦販売法改正に伴うセキュリティ対策の取組みについてのお知らせ

 日頃は、クレジットカードによる取引に関してご理解とご協力を賜り、厚くお礼申し上げます。

さて、平成28年12月9日に「割賦販売法の一部を改正する法律」(「改正割賦販売法」)が公布され、クレジットカードを取り扱う加盟店において、カード番号等の適切な管理や不正使用対策を講じることが義務づけられることになりました。改正割賦販売法の施行は、平成30年5月~6月の予定とされております。
これに関連して、同法を所管する経済産業省より、カード会社との間で契約を締結している加盟店に対して、別記の内容を周知するよう要請がありました。つきましては、別記の内容についてご理解を賜り、改正割賦販売法の施行までに必要な対応を行っていただきますようお願い申し上げます。

なお、改正割賦販売法により加盟店に義務付けられる具体的なセキュリティ対策の内容については、今後改正される予定の省令、監督の基本方針等において示されることになりますが、この加盟店の義務の実務上の指針となりうる「クレジット取引セキュリティ対策協議会」の「クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画-2017-」においては、以下の対応が求められておりますのでご参照ください。

【クレジットカードを取り扱う加盟店にご対応いただくこと】

○カード情報保護※について適切な保護措置をとること(非保持化又はPCIDSS準拠)。
○不正使用対策として、対面加盟店ではICカード決済が可能な端末を設置し、EC(ネット取引)加盟店では、なりすましによる不正使用防止対策をとること。。

※カード情報保護について
○非保持化とは、電磁的に送受信しないこと、すなわち、「自社で保有する機器・ネットワークにおいて「カード情報」を電磁的情報として『保存』、『処理』、『通過』しないこと」をいいます。なお、決済専用端末から直接、外部の情報処理センター等にカード情報を伝送している場合は、非保持とします。
○PCIDSS(Payment Card Industry Data Security Standard)とは、クレジットカード会員データを安全に取り扱う事を目的として策定された国際ブランドが策定した基準です(日本カード情報セキュリティ協議会のホームページ参照)。
○カード番号を保持する場合には、原則PCIDSS準拠が必要ですが、対面加盟店において、暗号化等の処理によりカード番号を特定できない状態とし、自社内で復号できない仕組みであれば、非保持化と同等/相当のセキュリティ措置として扱うことができる場合があります。

決済専用端末(CCT)を設置している加盟店

○カード会社より貸与されているICカードに対応した決済専用端末(カードをスワイプするのではなく差し込んでデータを読み取り、暗証番号を入力する方式)を設置し、外部の情報処理センター等に直接伝送している場合には、カード情報保護対策も不正使用対策(偽造防止対策)もすでに対応が済んでいますので、新たな対応は必要ありません。ご不明な点があれば、契約先のカード会社にご確認ください。
○一方、ICカードが読み取れない端末であれば、ICカードが読み取れる端末への置換えが必要です。
※下記の2.(2)をご参照ください。

POSシステムと端末間で、取引金額、決済結果等を連動させている加盟店

○カード情報保護については、非保持化(上記の非保持化と同等/相当のセキュリティ措置を含む。以下同じ。)又はPCIDSS準拠が必要です(上述の「※カード情報保護について」参照)。
○ICカードに対応した決済端末(暗証番号の入力方式)が設置されていれば、不正使用対策(偽造防止対策)はすでに対応が済んでいますので、新たな対応は必要ありません。
○一方、ICカードに対応していない端末であれば、ICカードに対応した端末への置換えが必要です。
○ご不明な点があれば、POS機器メーカーにご照会ください。
※下記の2.(2)をご参照ください。

カード処理機能を持ったPOSを設置している加盟店

○カード情報保護については、非保持化又はPCIDSS準拠が必要です(上述の「※カード情報保護について」参照)。
○ICカードに対応したPOS(暗証番号を入力する方式)が設置されていれば、不正使用対策(偽造防止対策)はすでに対応が済んでいますので、新たな不正使用対策(偽造防止対策)は必要ありません。
○一方、ICカードに対応していないPOS(スワイプして磁気で読み取る方式)であれば、ICカードに対応したPOSに置換えを行うか、ICカードに対応した決済端末を導入しPOSに接続する必要があります。
○ご不明な点があれば、POS機器メーカーにご照会ください。
※下記の2.(3)をご参照ください。

EC(ネット取引)加盟店

○カード情報保護については、非保持化又はPCIDSS準拠が必要です(上述の「※カード情報保護について」参照)。
○EC加盟店において、決済代行業者(PSP)が提供するシステムを利用する場合があります。この場合、加盟店の機器・ネットワークを通過する「通過型」と、通過しない「非通過型」に大別されますが、通過型の場合には、カード情報を窃取されるリスクがあるので、「非通過型」を推奨しております。どちらの仕組みを導入しているかについては、契約先の決済代行業者にご確認ください。なお、「通過型」の場合には、カード情報を保持することになりますので、EC加盟店においてPCIDSS準拠が必要です。
○なりすましによる不正使用防止のため、パスワードの入力等により本人が利用して いることを確認できる仕組みや申込者の過去の取引情報などから不正な取引かどうかを判定する手法の導入等、各加盟店の業種・取扱商材、リスクの状況に応じて、多面的・重層的な不正使用対策をする必要があります。
※下記の2.(4)をご参照ください。

【別記】改正割賦販売法に伴うセキュリティ対策の取組みについて

1.改正割賦販売法
(趣旨・概要)
近年、クレジットカードを取り扱う加盟店におけるクレジットカード番号等の漏えい事件や不正使用被害が増加(不正使用被害額はネット取引の増加にも伴い、平成24年の68.1億円から近年は右肩上がりで上昇し、平成28年には推計で約142.45億円に達すると見込まれている)しています。また、クレジットカード発行を行う会社と加盟店と契約を締結する会社が別会社となる形態(いわゆる「オフアス取引」)が増加し、これに伴ってクレジットカードを取り扱う加盟店の管理が行き届かないケースも出てきています。
 こうした状況を踏まえ、
① クレジットカードを取り扱う加盟店に対し、クレジットカード番号等の適切な管理や決済端末のIC対応化等のセキュリティ対策を講じることの義務付け
② 加盟店に対し、クレジットカード番号等を取り扱うことを認める契約を締結する事業者(アクワイアラー(加盟店契約会社)等)について登録制度を創設するとともに、上記①の加盟店によるセキュリティ対策の実施状況を確認するための調査を実施することの義務付け
等を盛り込んだ「割賦販売法の一部を改正する法律」(以下「改正割賦販売法」という。)が、昨年(2016年)12月2日に国会において可決・成立し、同月9日に公布されました。

(施行期日)
同法の施行期日は、公布日(昨年12月9日)から1年6ヶ月以内の政令で定める日とされており、2018年6月8日までに施行される予定です。

(法改正内容)
法改正内容等については、一般社団法人日本クレジット協会のホームページをご参照ください(下記のURL参照)。なお、ご不明な点等については、当社(契約するアクワイアラー(加盟店契約会社))よりご説明をさせていただきます。
また、改正割賦販売法全般についてのお問い合わせについては、下記の経済産業省のお問い合わせ先にご連絡をお願いいたします。

2.加盟店におけるセキュリティ対策の取組み
クレジットカード取引に関連する事業者等で構成される「クレジット取引セキュリティ対策協議会」(事務局:(一社)日本クレジット協会)において、本年3月8日に、「クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画-2017-」(昨年2月に公表した「実行計画-2016-」の改訂版)を策定しました。

この実行計画は、加盟店が改正割賦販売法上のセキュリティ対策義務を満たすための具体的な措置内容についての指針になり得るものであり、ご要望に応じ、(一社)日本クレジット協会又は経済産業省よりご説明いたします。

<一般社団法人日本クレジット協会ホームページ>
◆改正割賦販売法
(割賦販売法の一部を改正する法律について)
http://www.j-credit.or.jp/download/170126_news_a1.pdf
(「割賦販売法が改正されました」リーフレット)
http://www.j-credit.or.jp/download/170126_news_a5.pdf

◆クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画
http://www.j-credit.or.jp/security/document/index.html

◆具体的なセキュリティ対策
http://www.j-credit.or.jp/security/understanding/member-store.html

◆その他
(クレジットカード不正使用被害の発生状況 平成28年12月)
http://www.j-credit.or.jp/download/170126_news_a3.pdf
(「クレジットカードがより安全・安心なIC取引に変わります!」リーフレット)
http://www.j-credit.or.jp/download/170126_news_a4.pdf

経済産業省のお問い合わせ先
商務情報政策局 商務流通保安グループ 商取引監督課
直通電話:03-3501-2302

説明会の要請先
一般社団法人日本クレジット協会
担当:「業務企画部」又は「セキュリティ対策推進センター」
〒103-0016 東京都中央区日本橋小網町14-1 
TEL:03-5643-0011
email:gykikaku1@jcredit.jp 又は gykikaku2@jcredit.jp

2.加盟店の皆様にカードセキュリティ対策をご理解いただくために

加盟店の皆様におかれては、安全・安心なカード決済システムの提供にあたり、お客様対応の最前線にたって、多大なご協力をいただいています。
しかし、カード不正の現状を見ると、大変残念なことですが、カード情報の漏えいの多くは加盟店での事故に起因しています。また、実際の不正使用は、ATMを利用したカードキャッシングではなく、加盟店の皆様との取引におけるカード決済で発生しています。
このため、クレジット取引セキュリティ対策協議会の実行計画では、セキュリティ向上策は加盟店の皆様にご対応いただく対策が中心となります。
そこで、加盟店の皆様にカードセキュリティ対策をご理解いただくために、以下についてご説明します。
なお、加盟店の皆様に対応いただきたい対策は、カード情報の保護とカード決済時の不正使用の防止の2つの側面にわかれますが、店舗取引とインターネット取引、カード決済端末の種類等によってその内容は大きくかわりますので、ご注意ください。

(1)セキュリティ対策強化のメリット

○セキュリティの強化は販売機会の喪失を防止します
欧州や東南アジアの一部の国では決済端末のIC対応は100%近く普及が進んでいます。中国や韓国でも義務化等により、IC対応は急速に進んでいます。米国は2014年(平成26年)10月クレジット決済のIC化に係る大統領令発令により、2015年(平成27年)中に大手小売業者はIC対応をほぼ完了します。
わが国では、2020年(平成32年)オリンピック・パラリンピック東京大会をはじめ、外国人の需要拡大が国策となっています。高いセキュリティの中でカードを利用している外国人は、安全性に問題がある加盟店のカード利用を敬遠するおそれがあります。
○顧客クレームの減少に繋がります
「身に覚えのない請求がきた」
「カード会社から電話があり、カードが利用できなくなった」
「もうあの店で買い物はしない」
「カード番号が変更され、毎月の定額料金先の手続きが大変だった」
などという事態が実際に発生しています。
○不正使用に対する加盟店のリスクを軽減します
2013年(平成25年)11月に米国大手スーパーで約4,000万件のカード番号等の大規模な情報漏えい事案が発生。これにより同社では多額の対策費と損害賠償が発生し、CEOも退任に追い込まれました。日本でもPOSシステムのマルウエア感染により、氏名、カード番号、有効期限、セキュリティコード等が窃取されるなど、2015年(平成27年)から急増しています。
○セキュリティに関するルールの変更が検討されています
2014年(平成26年)5月、政府の情報セキュリティ政策会議において国民生活・社会経済活動に多大な影響を及ぼすおそれがあるとして、クレジット分野は重要インフラ(電力、ガス、金融等13分野)の一つとされました。
不正使用防止は、消費者の損害防止だけでなく、決済インフラの信頼性維持という社会的利益に直結することになりました。
また、
 ・国際カードブランドのルール改正により、日本でも2015年(平成27年)10月以降、一部の業種を除きICカード対応端末を設置していない加盟店でのカード偽造の債務責任は契約しているクレジットカード会社に課せられることになりました。
 ・割賦販売法が改正され、加盟店の皆様には、カード情報の適切管理及び不正使用防止のための措置が義務づけられました。

(2)中小加盟店の皆様の対策について

POSレジとは別に、カード決済のための専用端末(CCT)を設置している加盟店でのセキュリティ対策は以下の通りです。
詳しくは、端末を設置しているカード会社にお問合せください。
なお、ICカードが提示された場合、磁気ストライプでの売上処理はできませんので、ご注意ください。

加盟店の種別 必要な対策
決済端末を
単体で使用している加盟店
IC未対応端末 決済端末をIC対応の機器に置き換える必要があります。
IC対応端末 特に対応の必要はありません。
POSシステムと決済端末間で取引金額、
決済結果等を連動させている加盟店
○決済端末をIC対応の機器に置き換える必要があります。
○カード情報がPOS端末やPOSシステムの機器・ネットワークに「保存」、「処理」、「通過」する場合はPCI DSS準拠の対応が必要です。

決済端末を単体で使用している加盟店

IC未対応端末:決済端末をIC対応の機器に置き換える必要があります。
IC対応端末:特に対応の必要はありません。

POSシステムと決済端末間で取引金額、決済結果等を連動させている加盟店

○決済端末をIC対応の機器に置き換える必要があります。
○POSシステム側でカード情報を保持している場合は、カード情報の非保持化・保持する場合はPCI DSS準拠の対応が必要です。

(3)大規模加盟店の皆様の対策について

カード処理機能を持たせたPOSレジを設置している加盟店でのセキュリティ対策は以下の通りです。

○必要なセキュリティ対策の整理
カード情報の漏えい防止対策と端末のIC対策の両方が必要です。

カード情報の漏えい防止対策
カード情報非保持 PCI DSS準拠 未対応
端末の
IC対応
対応済み 特に対策の必要はありません。 カード情報の非保持かPCI DSS準拠のいずれかの対応が必要です。
未対応 IC対応端末への切替が必要です。 次の両方の対応が必要です。
○カード情報の非保持かPCI DSS準拠のいずれか
○ICカード対応端末への切替

端末のIC対応が対応済みの場合

カード情報非保持、またはカード情報の漏えい対策(PCI DSS)対応済みの場合は、特に対策の必要はありません。
カード情報の漏えい対策未対応の場合は、カード情報の非保持かPCI DSSのいずれかの対応が必要です。

端末のIC対応が未対応の場合

カード情報非保持、またはカード情報の漏えい対策(PCI DSS)対応済みの場合は、ICカード対応端末への切替が必要です。
カード情報の漏えい対策未対応の場合は、次の両方の対応が必要です。
○カード情報の非保持かPCI DSSのいずれか
○ICカード対応端末への切替

※ カード番号で顧客管理を行っているなど、カード情報を持たざるを得ない加盟店においてはPCI DSSに準拠していただくことになります。

○セキュリティ対策別のカード決済オペレーションの変更
カード情報の非保持や、IC対応端末を導入した場合、従来の磁気ストライプカードからカード処理方法がかわる場合があります。
カード情報を非保持化した場合の顧客対応
・非保持化実現時の照会等対応において、加盟店・クレジットカード会社の双方においてカード番号を基本として照会する必要があります。
・「非保持化」を実現した加盟店がカード番号を照会キーとして利用する方法として、カード取引にかかる紙伝票(加盟店控え、お客様控え)等の紙媒体を利用する方法や、PCI DSSに準拠したASP等が提供するセキュリティ対策が施された環境に加盟店がアクセスし、一時的にカード番号を入手して利用する方法があります。
なお、カード情報の漏えい対策としてPCI DSSを選択した場合は、現行のオぺレーションに変更はありません。
ICカード売上の処理の方法
・ICカードの売上処理はICチップを読み取って行うことが義務付けられます。磁気ストライプの情報での売上処理はできません。(ただし、海外発行のクレジットカード等、ICチップを搭載していない場合は、磁気ストライプの情報で売上処理できます。)
・売上票へのサインに替わり、カード会員から暗証番号を入力していただくことになります。
 暗証番号を知らないカード会員に対しては、救済措置として暗証番号に替えてサインを徴求するように端末を設定することができますが、将来的には暗証番号のみとする予定です。
・暗証番号の入力は端末に接続したPINPADで行いますが、売場形態等により暗証番号の徴求が困難な場合は、サインへの切替ができる場合がありますので、契約しているクレジットカード会社にお問合せください。
・不正使用の危険性が極めて小さい取引については、本人確認(暗証番号及びサイン)を省略することができる場合があります。本人確認省略可能の取引は、取扱い商品、上限金額に厳しい制限がありますので、詳細については契約しているクレジットカード会社にお問合せください。
○セキュリティ対策強化の具体的なシステム等について
セキュリティ対策には、加盟店システムの状況等により、様々な対応方法があります。以下に想定される対応システムの概略を紹介します。
カード情報の漏えい防止対策
カード情報の非保持化は、次の2つの方式のいずれかで対応するのが一般的です。詳しくは契約しているクレジットカード会社やPOS等の機器メーカーにお問合せください。
■決済専用端末連動型・・・・・・IC対応した決済専用端末(CCT端末等)とPOSシステムの間で取引金額や決済結果等を連動させる仕組みで、IC対応した決済専用端末から直接、外部の情報処理センターに伝送される仕組み
■ASP(Application Service Provider)/クラウド接続型・・・・・・POSシステムと加盟店の外側の事業者(ASP事業者)との間で取引金額や決済結果を連動させる仕組みで、IC対応した決済専用端末から直接、外部のASP/クラウドセンターに伝送される仕組み
【決済専用端末(CCT)連動型(外回り)】 【ASP/クラウド接続型(外回り)】
なお、PCI DSSへの対応の詳細は、日本カード情報セキュリティ協議会(JCDSC)にご相談ください。
カード決済端末のIC対応
ICカード及びそれに対応した決済端末は、国際的な仕様(EMV仕様)が決まっており、最終的にはブランドテストや認定等が必要です。その対象となるシステムの範囲や対応コストは、システム構成により様々です。
以下は、比較的導入しやすい方式の例です。詳しくは契約しているクレジットカード会社やPOS等の機器メーカーにお問合せください。
A 決済専用端末連動型
IC対応した決済専用端末(CCT端末等)とPOSシステムの間で取引金額や決済結果等を連動する仕組み。決済専用端末側で開発・EMV認定・ブランドテスト等の対応を行えばよく、導入時における対応の影響が最も小さい。一方で、決済専用端末を新たに追加する必要があるため、設置場所の確保等の課題もある。
B 決済サーバー接続型
POSシステムで決済を行うが、EMVカーネルがPINPADにある仕組み。POS本体で開発・EMV認定等を取る必要がなく、導入時における対応の影響は小さい。ただし、カード情報がPOSシステムのサーバーを通過することから、PCI DSS準拠又は非保持化と同等/相当のセキュリティ措置を講じる必要がある。
C ASP/クラウド接続型
POSシステムと加盟店の外側の事業者(ASP事業者)との間で取引金額や決済結果を連動させる仕組み。基本的には上記決済サーバー接続型と同じ構造だが、社外(ASP事業者)で開発・EMV認定・ブランドテスト等の対応を行うため、加盟店の個別負担は少ない。(ASP利用料は発生する。)
A1.EMVカーネル決済専用端末配置型 A2.EMVカーネルPINPAD配置型
B1.POS配置型 B2.PINPAD配置型 B3.サーバ配置型

(4)インターネット加盟店の皆様の対策について

インターネット取引では、カード使用者と対面することがなく、送信される申込情報が不正使用防止の中心になります。また、ネットワークに接続していることから、カード情報の漏えいの危険性も高くなっています。
ここでは、最も数の多い決済代行業者(PSP)の傘下のインターネット加盟店に焦点を当てて、セキュリティ対策上の留意点をまとめました。

①カード情報漏えい対策の留意点

○PSPとの関係と具体的対策の整理
PSPと加盟店の状況によって、カード情報漏えい対策の内容を整理すると、以下の通りです。
PSP側で対応が必要な場合がありますが、クレジットカード会社においてPSPに対して対応依頼を行います。
カード情報の漏えい防止対策 PSPのPCI DSSの準拠状況
準拠済み 未準拠
加盟店の
対応状況
カード情報非保持 ○特に対策の必要はありません。 ○加盟店は特に対策の必要はありません。
(PSPはPCI DSSに準拠する必要があります。)
カード情報保持 ○カード情報の非保持かPCI DSS準拠のいずれかの対策が必要です。 ○カード情報の非保持かPCI DSS準拠のいずれかの対策が必要です。
(PSPはPCI DSSに準拠する必要があります。)

カード情報漏洩対策(PSP側PCI DSS対応済みの場合)

加盟店側がカード情報非保持の場合:特に対策の必要はありません。
加盟店側がカード情報保持の場合:カード情報非保持化の対策が必要です。

カード情報漏洩対策(PSP側PCI DSS非対応の場合)

加盟店側がカード情報非保持の場合:特に対策の必要はありません。
加盟店側がカード情報保持の場合:カード情報非保持化の対策が必要です。

○PSPとの接続方式の確認について
PSPを利用するインターネット加盟店におけるカード決済システムにおいては、カード情報が加盟店のサーバーを通過する「通過型」と、通過しない「非通過型」に大別されます。
・通過型・・・・・・カード情報がインターネット加盟店の機器・ネットワークを「通過」して「処理」され、場合によっては意図せず保存しているため、不正アクセスやマルウェア等によりカード情報を窃取されるリスクが高い。
・非通過型・・・・・・カード情報がPSPの機器・ネットワークを「通過」して「処理」されるため、インターネット加盟店はカード情報を「通過」「処理」「保存」することはなく、インターネット加盟店からのカード情報の漏えいが発生するリスクは低い。リンク型、Java Scriptを使用した非通過型があります。
インターネット加盟店の皆様においてカード情報を非保持化するためには、PCI DSS準拠済みのPSPを活用したカード情報の非通過型の決済システムを導入することになります。自社のシステムの確認をお願いします。

②インターネット取引での不正使用防止対策の留意点

送信された申込情報のみで不正使用を判断するインターネット取引では、窃取されたカード番号と有効期限を使用された場合、不正使用を検知するのは極めて困難です。
このため、カード番号と有効期限以外の情報を活用する対策を進める必要がありますが、セキュリティ面が脆弱なインターネット取引では、対策の決定打はなく、多面的・重層的な対策が必要です。
カード業界で用意する対策には、以下のものがあります。具体的な対策を決めるには、加盟店の業種及び商材等に応じた有効的な方策とする必要がありますので、契約しているPSP、クレジットカード会社にご相談ください。

○カード番号と有効期限以外の情報で確認する方法
特定のパスワードや属性情報などを送信してもらい、確認する方法です。申込画面の変更が必要で、入力事項が増加するという共通の課題があります。
確認する事項によって、以下の方法があります。
・特定のパスワードや属性情報等による確認
 使用者の本人属性を確認します。特定のパスワードによる場合は、消費者が希望して当該カード発行しているクレジットカード会社に登録する方式なので、登録率の問題があります。
・セキュリティコードによる確認
 ネットから入手することができないセキュリティコードにより、真正なカードを所有しているか否かを確認します。セキュリティコードは現在100%普及しており、導入コストが低廉であるため加盟店が導入しやすい反面、カード券面に印刷されているため、紛失・盗難カードでは有効ではありません。
○属性・行動分析で推定する方法
過去の取引情報等に基づいたリスク評価(スコアリング)を行い不正な取引であるか判定します。不正かどうかを判断するのは加盟店自身となるため、加盟店自身の不正判定業務ノウハウの蓄積や体制構築が必要です。
○配送先情報で推定する方法
犯罪組織等の配送先情報を蓄積することで、取引成立後であっても商品等の配送を事前に止めることで被害を防止します。カード会社複数社で運用しているサービスが、限定的ではありますが加盟店に対して提供されており、安価なコストで導入することができます。
○その他(カード利用時におけるカード会員向け利用確認メールを通知)
カード利用時にカード会員向けに利用確認のメール等を通知することで、カード会員がその内容を確認し、利用の覚えがない場合にはカード会社に早期に連絡をとることができます。

ページトップへ