基礎知識
割賦販売法とは?改正によって追加された新たな義務
「割賦販売法の一部を改正する法律(改正割賦販売法)」が、2018年6月に施行された。改正割賦販売法のおおもとである割賦販売法は、文字どおり割賦販売を扱う店舗(加盟店)やクレジットカード会社に適用される法律で、場合によっては決済代行会社もその対象になることがある。
改正割賦販売法では、クレジットカード加盟店とクレジットカード会社にいくつかの義務が課せられているが、その大きな目的はセキュリティ強化による不正の防止だ。業態や設置機器によって対応は異なるが、割賦販売に関わる企業・店舗は、改正割賦販売法の内容を理解し、適切に対応することが求められている。
目次
そもそも割賦販売法の目的とは?
割賦販売法は元々、クレジットカードやローンでの商品購入に関して生じる、トラブルの防止や解決を図る目的で制定された。
クレジットカードやローンは、手持ちの現金がなくても買物ができるため便利だが、支払い能力を超えた買物をすることが可能になる。それは、買い手の支払いが滞ったり、そのために店舗側が代金の回収ができなかったりといったトラブルが起こりうるということだ。また、割賦契約で物やサービスの売買契約を結んだ後に店舗が倒産・閉店し、クレジットカード会社への支払いだけが残るという事例もあった。こうした問題を受けて制定されたのが、割賦販売法である。
制定当初は、日本でのクレジットカード決済はまだ一般的ではなかったため、取引の健全性を高めて利用を促進する性格が強かったが、時代の流れとともに「消費者保護」の視点を明確にしていった。
改正の目的は不正の排除とセキュリティの強化
改正割賦販売法の目的には、おもに「情報漏洩と不正被害の防止」と「セキュリティ強化」の2つがある。それぞれについて、詳しく解説しよう。
増加しているクレジットカードの情報漏洩と不正被害の防止
クレジットカードの不正事案はさまざまだが、多くの場合、クレジットカード番号などの情報の不正入手と、それを基にした偽造カードの不正利用がセットになっている。
不正入手によく使われる手口としては「フィッシング」がある。これは、金融機関やクレジットカード会社、通販サイトなどを装い、偽のウェブサイトに誘導してカード番号や暗証番号を入力させる手口である。
また、まったく関係のないアプリケーションソフトにスパイウェアを組み込み、バックグラウンドで作動させて個人情報を盗むという方法も横行している。
加盟店を標的とした手口では、遠隔操作によるサーバのハッキングのほか、店舗で使われている決済端末に「スキマー」と呼ばれる機器を取り付け、端末が読み取ったクレジットカード情報を送信する「スキミング」という手法もある。
こうした手口によるクレジットカードの不正利用被害額は、2014年の時点で約114億5,000万円だったが、4年後の2018年には約235億4,000万円と倍増している。
割賦販売法の改正には、こうした状況に歯止めをかけるという狙いがある。
インバウンド需要の増加に備えたセキュリティ強化
日本では、ICチップ搭載のクレジットカード(ICカード)への移行は順調に進んでいる。その半面、POSシステムの普及率が低く、偽造されやすい磁気ストライプ型の読取端末が今も一定数使われているなど、加盟店側の対応は遅れているとされている。
以前は同様の問題が米国でも指摘されていたが、大規模な情報漏洩事件を契機にクレジットカードのIC化が一気に進み、2016年には対応をほぼ完了したとされている。それに伴って、加盟店側でのIC対応型決済端末への切替えも進んだ。このまま日本の対策が進まなければ、クレジットカード決済の分野において日本が「世界のセキュリティホール」と化してしまう可能性がある。
ここ10年ほど、日本へのインバウンドは増加の一途であり、今後数年のうちに世界的なイベントの開催が多数予定されている。世界中のクレジットカード犯罪グループから集中的に攻撃される可能性も考えられ、早急なセキュリティ強化が急務だ。それには、クレジットカード会社・加盟店両面での安全管理が必要であり、割賦販売法の改正につながった。
加盟店に義務付けられる内容とは?
改正割賦販売法では、クレジットカード加盟店にカード情報の漏洩対策とともに、不正利用への対策を義務付けることとした。その具体的な内容について説明しよう。
情報漏洩の防止対策としての非保持化
情報の漏洩を防ぐ方法はいろいろ考えられるが、根本的な対策を挙げるなら「そこにクレジットカード情報を保管しないこと」に尽きる。クレジットカード決済において、従来は顧客のクレジットカード情報が店舗側に記録・保存されるプロセスがあった。これらの記録は、店舗側の処理が完了した後で消去されるように設計されたしくみもある。しかし、一時的でもクレジットカード情報が店舗側で直接記録され、送受信されるプロセスがある以上、そこから情報が漏洩する可能性は否定できない。
そのため、改正割賦販売法では、店舗でクレジットカード情報を保存・処理・通過しない「非保持化」が義務付けられた。非保持化は対面販売となる実店舗と、通販形態をとるウェブストアなどの非対面販売店では対応が異なる。対面販売を行う店舗はICカードの決済端末を設置する必要があり、非対面販売を行う店舗では、なりすましによる不正利用防止策をとらなくてはならないとされている。
セキュリティ基準「PCI DSS」
過去、クレジットカード業界では、クレジットカードブランドが独自にリスク管理プログラムを設定し、バラバラに運用していた。当時はクレジットカード決済を行うためには、各クレジットカード会社の定めたプログラムに、それぞれ準拠することが必須であった。
しかし、1つの加盟店が複数のクレジットカードブランドと契約する「マルチアクワイアリング」が一般的になると、加盟店はクレジットカードブランドそれぞれのルールに合わせることが困難になる。加盟店としては大きな負担になるし、そのためにクレジットカードブランドとの契約が頭打ちになるおそれもあった。
そこで、国際クレジットカードブランドであるVisa、Mastercard、American Express、Discover、JCBの5社が手を結んで作り上げた、クレジットカード情報保護のための世界的な統一規格が「PCI DSS」である。クレジットカード情報を顧客管理に使っているなど、店舗側でクレジットカード情報の保持が不可欠である場合には、「PCI DSS」に準拠することが求められている。
ICカード端末設置によるなりすまし防止
セキュリティ向上を目指すもうひとつの側面は、なりすましの防止である。つまり、不正入手した情報を基に作られた偽造カードの使用を防ぐことであり、ICカードの対応が大きな柱となる。クレジット取引セキュリティ対策協議会がとりまとめた「実行計画2019」において、経済産業省は「現状では、IC取引の実現が、カードの偽造防止の唯一無二の対策である」としている。
改正割賦販売法では、加盟店にICカードの読取端末の導入を義務付けた。大規模なPOSシステムを持つ大型店やチェーンストアでは、大規模な改修や機器類の入れ替え、同時にカード情報非保持化への移行という課題もあるが、2020年3月の期限に向けて、移行作業が進行している。
実行計画2019では、ウェブストアなどの非対面店舗では、3Dセキュアやセキュリティコードを利用した本人認証など、多面・重層的な不正利用対策を講じることが求められている。
クレジットカード会社も調査・措置の義務を負う
改正割賦販売法では、加盟店だけでなくクレジットカード会社にも義務が課されている。それは、契約対象である加盟店に対する調査義務、そして調査の結果、必要と認められる場合の措置義務である。
調査という点から見ると、クレジットカード会社は加盟店がクレジットカード情報を適切に管理・処理できる体制を整えているかを契約初期に調査し、さらに契約後も定期的・随時的な途上調査を行って、その状況を確認する義務を負う。
もし、調査の結果「必要な条件を満たしていない」と判明した場合には、初期調査の場合であれば加盟店契約を締結してはならず、途上調査の場合には必要な是正措置を早急に講じることとされている。
このように、改正法では情報漏洩や不正利用の排除のために、加盟店のみならずクレジットカード会社にも相応の対応が課されている。
クレジットカード決済にはより強固なセキュリティが求められる
改正割賦販売法は、セキュリティ面に関して、きびしいハードルを設定している。それは、クレジットカード利用者の安全を図り、安心してクレジットカード決済を利用できる環境を整えることが目的である。
クレジットカード決済は、今後もより強固なセキュリティが求められることは当然の流れで、それには決済の現場とそのバックヤードが協力し、より安全性の高い環境を構築していく必要がある。
今回の記事のまとめ
施行された「改正割賦販売法」
- ・割賦販売法は割賦販売のトラブルを防ぎ、消費者を保護するための法律である
改正の目的は不正の排除とセキュリティの強化
- ・情報漏洩と不正被害を防ぎ、インバウンド需要の増加に備える目的で改正された
加盟店に義務付けられた内容とは
- ・加盟店は、情報の非保持化あるいはPCI DSS準拠が義務化された
- ・ICカード端末の設置による、なりすましの防止
クレジットカード会社も調査・措置の義務を負う
- ・クレジットカード会社は加盟店への調査・措置の義務を負う
目的別に記事を探す
店舗経営者の方へ
豊富なキャッシュレス決済に対応!
その他おすすめ記事サイト
キャッシュレスの基礎知識やキャッシュレス決済の導入方法など、キャッシュレスに関する最新情報を丁寧に解説します。
経営者・個人事業主・スタートアップの担当者が知っておきたいバックオフィスの基礎知識をご紹介しています。
その他おすすめ記事サイト
キャッシュレスの基礎知識やカード活用術、お困りごと解決情報など役立つ情報を発信しています。
経営者・個人事業主・スタートアップの担当者が知っておきたいバックオフィスの基礎知識をご紹介しています。
店舗経営者の方へ
豊富なキャッシュレス決済に対応!
その他おすすめ記事サイト
キャッシュレスの基礎知識やカード活用術、お困りごと解決情報など役立つ情報を発信しています。
経営者・個人事業主・スタートアップの担当者が知っておきたいバックオフィスの基礎知識をご紹介しています。