ECサイト運営において、クレジットカード決済はとても重要な決済方法の一つです。
このクレジットカード決済について、法律(割賦販売法)の改正が行われました。
変更内容は、クレジットカード加盟店における【セキュリティ対策の義務】です。

2018年7月以降。セキュリティ対策として、クレジットカード情報をECサイトで
保存できなくなります。
クレジットカード決済画面が、ECサイト内だけの画面遷移で完結している
【API方式/モジュール方式】を採用している場合は、法改正に合わせ、システムを変更する必要があります。

対策をとっておかないと、2018年7月以降は法律違反になります。

 

割賦販売法とは

割賦販売法は、クレジットカード取引に関するルールを定めた法律の事です。
2016年12月19日に法律が改正し、今後は「クレジットカード会社による販売店の管理・販売店のセキュリティ対策」が義務づけられました。
これらを2018年6月までに実施できるようにする必要があります。

【クレジットカード会社による販売店の管理】

クレジットカード支払いを店舗に導入する場合、
クレジットカード会社と加盟店契約を結ぶ必要があります。

今回の法改正によって、契約時クレジットカード会社の調査を受ける事になります。
セキュリティ対策がしっかりされているか?不適切な販売を行っていないか?を調べられます。
この調査で、不適切と判断されるとクレジットカード支払いを導入することができません。

【販売店のセキュリティ対策】

・クレジットカード支払いを導入する上で、カード情報が盗まれないように、
クレジットカード情報を販売店で保持しないようにする。
もしくは、国際基準のデータセキュリティを備えるという、情報に対する管理義務を負う事になります

・クレジットカードのなりすましや、偽造カードが使えないよう、クレジットカード決済端末の
IC対応のセキュリティ対策の義務が発生します

クレジットカードの決済方式

クレジットカード情報を使うために、どうやってカードと接続しているか?
API方式/モジュール方式とは?そして、何方式に変更したらいいのか?

販売店の方でクレジットカードを保持しない「リンク方式」や「トークン方式」に変更する必要があります。

リンク方式と、トークン方式だとどっちが良い??
良し悪しよりも大きな違いをご説明すると、トークン方式の場合は、カード情報がトークン化(暗号化)されているので、
第三者に見られた場合も、カード番号を特定できないようになっており、不正利用のリスクが回避できます。

国際基準のデータセキュリティとは

国際基準のデータセキュリティ【PCIDSS】について。
非保持化せず、カード情報を保持する場合は、セキュリティ対策を万全にしておく義務があります。
何をもって万全とするか?その基準が、【PCIDSS】です。

PCIDSSとは、国際カードブランド5社(American Express、Discover、JCB、MasterCard、VISA)が共同でつくったセキュリティ基準です。
国内では、限られた企業だけが取得しています。
ネットワークの構築、カード会員の保護などの12の要件に基づき、約40の項目で構成されており、
基準を満たすには「全てクリア」する必要があります。
この基準を満たす為のカスタマイズには、おおよそ初期費用【最低1,000万円以上】、月額【最低100万円以上】かかると想定されています。

つまり、販売店が独自に取得するには膨大なコストがかかるので、なかなか難しいのが現状です。

法律に準拠する為には

PCIDSSは費用も時間もかかるため、クレジットカード情報の非保持化が法律に準拠する為には近道といえます。
この法律は、クレジットカード決済を使う販売店全てが対象なので、電話注文や店頭販売も対象です。
今回ご紹介しているのは、ECサイトでの話になりますが、電話受注も受け付けている店舗については、他の対策をする必要があります。

今回の法律改正の背景には、カード不正使用の被害が増えている事があります。
ECサイト利用だけの被害だけでなく、クレジットカードを安全に利用する為に必要な対策ということです。


<データ参考:経済産業省「セキュリティクレジットカード取引におけるセキュリティ対策の強化に向けた実行計画」の詳細>

まとめ

ECサイトの市場規模は年々増えていて、クレジットカード決済を利用した購入も多くなっています。
これに伴い、不正使用の被害額も多くなっています。
2015年には、この被害額が106億円を超えており、恐ろしい事実となっています。
この状況を改善すべく、経済産業省が3本の柱を発表しました。
「カード情報を盗らせない」「偽造カードを使わせない」「ネットでのなりすましをさせない」です。

この改正は、ECサイトをお客様に安全に利用いただく為に必要な事であり、
そもそもこの基準を満たしていないと、クレジットカード決済を導入できなくなります。
この法律に違反している場合は、罰則の対象になりますので、きちんとした対策が必要です。

Written by