加盟店(クレジットカードを取り扱うお店)の皆様へ

1.割賦販売法改正に伴うセキュリティ対策の取組についてのお知らせ

日頃は、クレジットカードによる取引に関してご理解とご協力を賜り、厚くお礼申し上げます。

さて、平成28年12月9日に「割賦販売法の一部を改正する法律」(「改正割賦販売法」)が公布され、クレジットカードを取り扱う加盟店において、カード番号等の適切な管理や不正利用対策を講じることが義務付けられることになりました。(改正割賦販売法は、平成30年6月1日に施行されております。)
これに関連して、同法を所管する経済産業省より、カード会社との間で契約を締結している加盟店に対して、別記の内容を周知するよう要請がありました。つきましては、別記の内容についてご理解を賜り、必要な対応を行っていただきますようお願い申し上げます。

なお、改正割賦販売法により加盟店に義務付けられる具体的なセキュリティ対策の内容については、省令、監督の基本方針等において示されておりますが、この加盟店の義務の実務上の指針となりうる「クレジット取引セキュリティ対策協議会」の「クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画」においては、以下の対応が求められておりますのでご参照ください。

【クレジットカードを取り扱う加盟店にご対応いただくこと】

○カード情報保護※について適切な保護措置をとること(非保持化又はPCI DSS準拠)。
○不正利用対策として、対面加盟店ではICカード決済が可能な端末を設置し、EC(ネット取引)を含む非対面加盟店では、なりすましによる不正利用防止対策をとること。

※カード情報保護について
○非保持化とは、電磁的に送受信しないこと、すなわち、「自社で保有する機器・ネットワークにおいて「カード情報」を電磁的情報として『保存』、『処理』、『通過』しないこと」をいいます。なお、決済専用端末から直接、外部の情報処理センター等にカード情報を伝送している場合は、非保持とします。
○PCIDSS(Payment Card Industry Data Security Standard)とは、クレジットカード会員データを安全に取り扱う事を目的として国際ブランドが策定した基準です(日本カード情報セキュリティ協議会のホームページ参照)。
○カード番号を保持する場合には、原則PCI DSS準拠が必要ですが、対面加盟店において、暗号化等の処理によりカード番号を特定できない状態とし、自社内で復号できない仕組みであれば、非保持と同等/相当のセキュリティ措置として扱うことができる場合があります。

決済専用端末(CCT)を設置している加盟店

○カード会社より貸与されているICカードに対応した決済専用端末(カードをスワイプするのではなく差し込んでデータを読み取り、暗証番号を入力する方式)を設置し、外部の情報処理センター等に直接伝送している場合には、カード情報保護対策も不正利用対策(偽造防止対策)もすでに対応が済んでいますので、新たな対応は必要ありません。ご不明な点があれば、契約先のカード会社にご確認ください。
○一方、ICカードが読み取れない端末であれば、ICカードが読み取れる端末への置換えが必要です。

POSシステムと端末間で、取引金額、決済結果等を連動させている加盟店

○カード情報保護については、非保持化(上記の非保持と同等/相当のセキュリティ措置を含む。以下同じ。)又はPCIDSS準拠が必要です(上述の「※カード情報保護について」参照)。
○ICカードに対応した決済端末(暗証番号の入力方式)が設置されていれば、不正利用対策(偽造防止対策)はすでに対応が済んでいますので、新たな対応は必要ありません。
○一方、ICカードに対応していない端末であれば、ICカードに対応した端末への置換えが必要です。
○ご不明な点があれば、POS機器メーカーにご照会ください。

カード処理機能を持ったPOSを設置している加盟店

○カード情報保護については、非保持化又はPCIDSS準拠が必要です(上述の「※カード情報保護について」参照)。
○ICカードに対応したPOS(暗証番号を入力する方式)が設置されていれば、不正利用対策(偽造防止対策)はすでに対応が済んでいますので、新たな不正利用対策(偽造防止対策)は必要ありません。
○一方、ICカードに対応していないPOS(スワイプして磁気で読み取る方式)であれば、ICカードに対応したPOSに置換えを行うか、ICカードに対応した決済端末を導入しPOSに接続する必要があります。
○ご不明な点があれば、POS機器メーカーにご照会ください。

EC(ネット取引)加盟店

○カード情報保護については、非保持化又はPCIDSS準拠が必要です(上述の「※カード情報保護について」参照)。
○EC加盟店において、決済代行業者(PSP)が提供するシステムを利用する場合があります。この場合、加盟店の機器・ネットワークを通過する「通過型」と、通過しない「非通過型」に大別されますが、通過型の場合には、カード情報を窃取されるリスクがあるので、「非通過型」を推奨しております。どちらの仕組みを導入しているかについては、契約先の決済代行業者にご確認ください。なお、「通過型」の場合には、カード情報を保持することになりますので、EC加盟店においてPCIDSS準拠が必要です。
○なりすましによる不正利用防止のため、パスワードの入力等により本人が利用していることを確認できる仕組みや申込者の過去の取引情報などから不正な取引かどうかを判定する手法の導入等、各加盟店の業種・取扱商材、リスクの状況に応じて、多面的・重層的な不正利用対策をする必要があります。

【別記】改正割賦販売法に伴うセキュリティ対策の取組みについて(平成29年1月)

1.改正割賦販売法
(趣旨・概要)
近年、クレジットカードを取り扱う加盟店におけるクレジットカード番号等の漏えい事件や不正使用被害が増加(不正使用被害額はネット取引の増加にも伴い、平成24年の68.1億円から近年は右肩上がりで上昇し、平成28年には推計で約142.45億円に達すると見込まれている)しています。また、クレジットカード発行を行う会社と加盟店と契約を締結する会社が別会社となる形態(いわゆる「オフアス取引」)が増加し、これに伴ってクレジットカードを取り扱う加盟店の管理が行き届かないケースも出てきています。
 こうした状況を踏まえ、
① クレジットカードを取り扱う加盟店に対し、クレジットカード番号等の適切な管理や決済端末のIC対応化等のセキュリティ対策を講じることの義務付け
② 加盟店に対し、クレジットカード番号等を取り扱うことを認める契約を締結する事業者(アクワイアラー(加盟店契約会社)等)について登録制度を創設するとともに、上記①の加盟店によるセキュリティ対策の実施状況を確認するための調査を実施することの義務付け
等を盛り込んだ「割賦販売法の一部を改正する法律」(以下「改正割賦販売法」という。)が、昨年(2016年)12月2日に国会において可決・成立し、同月9日に公布されました。

(施行期日)
同法の施行期日は、公布日(昨年12月9日)から1年6ヶ月以内の政令で定める日とされており、2018年6月8日までに施行される予定です。

(法改正内容)
法改正内容等については、一般社団法人日本クレジット協会のホームページをご参照ください(下記のURL参照)。なお、ご不明な点等については、当社(契約するアクワイアラー(加盟店契約会社))よりご説明をさせていただきます。
また、改正割賦販売法全般についてのお問い合わせについては、下記の経済産業省のお問い合わせ先にご連絡をお願いいたします。

2.加盟店におけるセキュリティ対策の取組み
クレジットカード取引に関連する事業者等で構成される「クレジット取引セキュリティ対策協議会」(事務局:(一社)日本クレジット協会)において、本年3月8日に、「クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画-2017-」(昨年2月に公表した「実行計画-2016-」の改訂版)を策定しました。

この実行計画は、加盟店が改正割賦販売法上のセキュリティ対策義務を満たすための具体的な措置内容についての指針になり得るものであり、ご要望に応じ、(一社)日本クレジット協会又は経済産業省よりご説明いたします。

<一般社団法人日本クレジット協会ホームページ>
◆改正割賦販売法
(割賦販売法の一部を改正する法律について)
/download/170126_news_a1.pdf
(「割賦販売法が改正されました」リーフレット)
/download/170126_news_a5.pdf

◆クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画
/security/document/index.html

◆具体的なセキュリティ対策
/security/understanding/member-store.html

◆その他
(クレジットカード不正使用被害の発生状況 平成28年12月)
/download/170126_news_a3.pdf
(「クレジットカードがより安全・安心なIC取引に変わります!」リーフレット)
/download/170126_news_a4.pdf

経済産業省のお問い合わせ先
商務情報政策局 商務流通保安グループ 商取引監督課
直通電話:03-3501-2302

説明会の要請先
一般社団法人日本クレジット協会
担当:「業務企画部」又は「セキュリティ対策推進センター」
〒103-0016 東京都中央区日本橋小網町14-1 
TEL:03-5643-0011
email:gykikaku1@jcredit.jp 又は gykikaku2@jcredit.jp

2.クレジット取引セキュリティ対策協議会における対策(指針)

改正割賦販売法により、加盟店の皆様に義務付けられる具体的なセキュリティ対策は「クレジット取引セキュリティ対策協議会」の「クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画‐2019‐」(「実行計画」)が実務上の指針と位置付けられており、実行計画に掲げる措置又はそれと同等以上の措置を講じている場合には、セキュリティ対策に係る法令上の基準を満たしていると認められています。

●クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画‐2019‐(概要版
●クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画‐2019‐(公表版
クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画に関するFAQ

実行計画では、以下のA~Cの3つの対策(指針)が求められておりますのでご参照いただき、必要な対策を行っていただきますようお願い申し上げます。

A.クレジットカード情報保護対策

◎カード情報について適切な保護措置をとること。カード情報の非保持化※1(非保持と同等/相当※2を含む)又はPCI DSS準拠※3。

  1. ※1 非保持化とは、電磁的に送受信しないこと、すなわち、「自社で保有する機器・ネットワークにおいて『カード情報』を電磁的情報として『保存』、『処理』、『通過』しないこと」をいいます。なお、決済専用端末から直接、外部の情報処理センター等にカード情報を伝送している場合は、非保持とします。
  2. ※2 カード情報を保持する場合には、原則PCI DSS準拠が必要ですが、強固な暗号化等の処理によりクレジットカード番号を特定できない状態とし、自社内で復号できない仕組みであれば、非保持と同等/相当のセキュリティ措置として扱うことができる場合があります。
  3. ※3 PCI DSS(Payment Card Industry Data Security Standard)とは、クレジットカード会員データを安全に取り扱うことを目的として国際ブランドが共同で設立したPCI SSC(Payment Card Industry Security Standards Council)が策定した基準です(日本カード情報セキュリティ協議会のホームページ(JCDSC)参照)。
形態 対策(指針)
外回り(非通過型)※4 内回り(通過型)※5
非対面加盟店 EC加盟店 非保持化(図1・2参照)。 PCI DSS準拠
メールオーダー・テレフォンオーダー
(MO・TO)加盟店
非保持化(図3・4参照) 非保持と同等/相当(図5参照)
又は PCI DSS準拠
対面加盟店 非保持化(図6・7参照) 非保持と同等/相当(図8・9参照)
又は PCI DSS準拠
  1. ※4 自社で保有する機器・ネットワークにカード情報を「保存」「処理」「通過」しない方式。
  2. ※5 自社で保有する機器・ネットワークにカード情報を「保存」「処理」「通過」する方式。

以下に非保持化又は非保持と同等/相当を実現するセキュリティ措置を例示します。

<図1>EC加盟店における非保持化:非通過型(「リダイレクト(リンク)型」)の決済システムの導入

<図1>EC面加盟店における非保持化:非通過型(「リダイレクト(リンク)型」)の決済システムの導入

<図2>EC加盟店における非保持化:非通過型(「Java Script型(トークン型)」)の決済システムの導入

<図2>EC面加盟店における非保持化:非通過型(「Java Script型(トークン型)」)の決済システムの導入

<図3>MO・TO加盟店における非保持化:要件を満たした決済専用端末を活用した外回り方式の導入

<図3>MO・TO加盟店における非保持化:要件を満たした決済専用端末を活用した外回り方式の導入

<図4>MO・TO加盟店における非保持化:要件を満たしたタブレット端末を活用した外回り方式の導入

<図4>MO・TO加盟店における非保持化:要件を満たしたタブレット端末を活用した外回り方式の導入

<図5>MO・TO加盟店における非保持と同等/相当:PCI P2PE認定ソリューションの導入

<図5>MO・TO加盟店における非保持と同等/相当:PCI P2PE認定ソリューションの導入

<図6>対面加盟店における非保持化 :決済専用端末(CCT)連動型(外回り)
決済専用端末から直接外部の情報処理センターに伝送される方式
POSに連動する決済結果には「カード情報」は含めないことが前提

<図6>対面加盟店における非保持化:決済専用端末(CCT)連動型(外回り)決済専用端末から直接外部の情報処理センターに伝送される方式POSに連動する決済結果には「カード情報」は含めないことが前提

<図7>対面加盟店における非保持化 :ASP/クラウド型(外回り)
決済専用端末から直接外部のASP/クラウドセンター等に伝送される方式
POSに連動する決済結果には「カード情報」は含めないことが前提

><図7>対面加盟店における非保持化:ASP/クラウド型(外回り)決済専用端末から直接外部のASP/クラウドセンター等に伝送される方式POSに連動する決済結果には「カード情報」は含めないことが前提

<図8>対面加盟店における非保持と同等/相当 :ASP/クラウド接続型(内回り)
PCI P2PE認定ソリューションの導入

<図8>対面加盟店における非保持と同等/相当:ASP/クラウド接続型(内回り)PCI P2PE認定ソリューションの導入

<図9>対面加盟店における非保持と同等/相当 :ASP/クラウド接続型(内回り)
クレジット取引セキュリティ対策協議会において取りまとめた技術要件に適合するセキュリティ基準(11項目)を満たすこと

<図9>対面加盟店における非保持と同等/相当:ASP/クラウド接続型(内回り)クレジット取引セキュリティ対策協議会において取りまとめた技術要件に適合するセキュリティ基準(11項目)を満たすこと
B.クレジットカード偽造防止による不正利用対策

◎IC取引が可能となるよう自社のクレジット決済システムをIC対応すること。

ICカード及びそれに対応した決済端末は、国際的な仕様(EMV仕様)が決まっており、最終的にはブランドテストや認定等が必要です。
その対象となるシステムの範囲や対応コストは、システム構成により様々です。
以下にIC対応手法を例示します。

IC対応手法例 接触EMVカーネル
配置場所
特徴 備考
決済専用端末(CCT)連動型
(図10参照)
決済専用端末や
PINパッド
EMVカーネルを決済専用端末やPINパッド等に置くことで、POSシステムの外側となるため、決済専用端末側で開発・EMV認定・ブランドテスト等の対応を行えばよく、POSシステム側で対応する必要がないことから、導入時における対応(開発・EMV認定・ブランドテスト等)の影響が最も小さい。 カード情報がIC対応の決済専用端末から直接カード会社に伝送されるため、加盟店におけるカード情報の非保持化が同時に実現できる。
決済専用端末を新たに追加する必要があるため、設置場所の確保等の課題はある。
決済サーバー接続型
(図11参照)
PINパッド EMVカーネルをPOSシステムの外側に置くため、POS本体で開発及びEMV認定等の取得の必要がなく、ブランドテスト等の対応で済むため、導入時における対応の影響は小さい。 カード情報はPOSシステムを通過してカード会社に伝送される(カード情報が自社で保有する機器・ネットワークを「保存」、「処理」、「通過」する)ため、カード情報の保持となり、PCI DSS準拠が必要となる。
ASP/クラウド接続型
(図12参照)
①ASP連動-PINパッド配置型 ①PINパッド
②③ASP/クラウドセンター
ASP/クラウド接続型でのEMV認定・ブランドテストの対応についてはASP事業者で行うため、加盟店の個別負担は少ない。 カード情報はPOSシステムを通過するため、加盟店はPCI DSS準拠、又は非保持と同等/相当のセキュリティ措置を満たすことが求められる。
②EMVカーネルクラウド配置型 カード情報がIC対応の決済専用端末から直接社外のASP/クラウドセンターに伝送されるため、加盟店における非保持化が同時に実現できる。
③EMVカーネルクラウド配置型 カード情報はPOSシステムを通過するため、加盟店はPCI DSS準拠、又は非保持と同等/相当のセキュリティ措置を満たすことが求められる。

<図10>決済専用端末(CCT)連動型

<図10>決済専用端末(CCT)連動型

<図11>決済サーバー接続型

<図11>決済サーバー接続型

<図12>ASP/クラウド接続型

<図12>ASP/クラウド接続
C.非対面取引におけるクレジットカードの不正利用対策

◎リスクやクレジットカードの不正利用発生の状況等に応じた方策を導入すること。

区分 定義 対策(指針)
全ての非対面加盟店 全ての非対面加盟店 カード取引に対する善管注意義務の履行、オーソリゼーション処理
高リスク商材取扱加盟店 実行計画で定める4つの商材※6を主たる商材として取り扱う加盟店 実行計画の掲げる4方策※7の内、1方策以上の導入
不正顕在化加盟店 継続的に一定金額を超えた不正利用被害が発生している加盟店 実行計画の掲げる4方策※7の内、2方策以上※8の導入
  1. ※6 デジタルコンテンツ(オンラインゲームを含む)、家電、電子マネー、チケット
  2. ※7
    ○本人認証
    • ・3Dセキュア……カード会員のみが知るカード会社(イシュアー)に事前に登録したパスワード等を、カード利用時に当該カード会社(イシュアー)が照合することにより、本人が取引を行っていることを確認するものであり、国際ブランドが推奨する本人確認手法。
    • ・認証アシスト……カードのオーソリゼーション電文を用いて、カード会員の属性情報等を送信し、カード会社に予め登録されている属性情報等と照合し、利用者本人が取引を行っていることを確認する手法。
    ○券面認証(セキュリティコード)
    ・・・・・・使用するクレジットカード番号が真正であることをカード会社(イシュアー)が確認する手法。
    ○属性・行動分析(不正検知システム)
    ・・・・・・購入者の入力情報(氏名、クレジットカード番号、eメールアドレス等)、購入者の利用端末(PC・モバイル等)情報(デバイス情報)、IPアドレス、過去の取引情報、取引頻度等、加盟店が収集できる情報に基づいて取引のリスク評価(スコアリング等)を行い、不正な取引であるか加盟店側で判定する手法。
    ○配送先情報
    ・・・・・・不正利用された注文等の配送先情報を蓄積することで、取引成立後であっても商品等の配送を事前に止めることで不正利用被害を防止する手法。
  3. ※8 4方策の内、2方策以上を導入していても不正利用被害が減少せず、引き続き、「不正顕在化加盟店」と認識される加盟店は、カード会社(アクワイアラー)等より不正利用の発生状況等の情報共有を受け、不正利用防止についての追加的な方策の導入等のため継続的な検討が求められる。

3.加盟店の皆様にカードセキュリティ対策をご理解いただくために

加盟店の皆様におかれては、安全・安心なクレジットカード利用環境の提供にあたり、お客様対応の最前線にたって、多大なご協力をいただいています。
しかし、クレジットカードの不正利用被害の現状をみますと、大変残念なことですが、カード情報漏えい事案の多くは加盟店にて発生しています。また、実際の不正利用は、ATMを利用したカードキャッシングではなく、加盟店の皆様との取引におけるカード決済で発生しています。
このため、クレジット取引セキュリティ対策協議会の実行計画では、セキュリティ向上策は加盟店の皆様にご対応いただく対策が中心となります。
そこで、加盟店の皆様にセキュリティ対策をご理解いただくために、セキュリティ対策強化のメリット等についてご説明します。

○セキュリティの強化は販売機会の喪失を防止します
欧州や東南アジアの一部の国では決済端末のIC対応は100%近く普及が進んでいます。中国や韓国でも義務化等により、IC対応は急速に進んでいます。米国では2014年(平成26年)10月クレジット決済のIC化に係る大統領令が発令されています。
日本では、2020年東京オリンピック・パラリンピック競技大会をはじめ、訪日外国人の需要拡大が国策となっています。高いセキュリティの中でカードを利用している訪日外国人は、安全性に問題がある加盟店のカード利用を敬遠するおそれがあります。
○顧客クレームの減少に繋がります
「身に覚えのない請求がきた」
「カード会社から電話があり、カードが利用できなくなった」
「もうあの店で買い物はしない」
「カード番号が変更され、毎月の定額料金先の手続きが大変だった」
などという事態が実際に発生しています。
○不正利用に対する加盟店のリスクを軽減します
2013年(平成25年)11月に米国大手スーパーで約4,000万件のカード情報等の大規模な情報漏えい事案が発生しました。これにより同社では多額の対策費と損害賠償が発生し、CEOも退任に追い込まれました。日本でもPOSシステムのマルウェア感染により、氏名、クレジットカード番号、有効期限、セキュリティコード等が窃取されるなど、2015年(平成27年)から急増しています。
○セキュリティに関するルールが変更されています
2014年(平成26年)5月、政府の情報セキュリティ政策会議において国民生活・社会経済活動に多大な影響を及ぼすおそれがあるとして、クレジット分野は重要インフラ(電力、ガス、金融等13分野)の一つとされました。
不正利用防止は、消費者の損害防止だけでなく、決済インフラの信頼性維持という社会的利益に直結することになりました。
また、
・国際ブランドのルール改正により、日本でも2015年(平成27年)10月以降、一部の業種を除きICカード対応端末を設置していない加盟店でのカード偽造の債務責任は契約しているクレジットカード会社に課せられることになりました。 ・割賦販売法が改正され、加盟店の皆様には、カード番号等の適切な管理及び不正利用防止のための措置が義務付けられました。

ページトップへ