セキュリティ

割賦販売法

割賦販売法の改正における加盟店さまの対応について

2016年12月に「割賦販売法の一部を改正する法律」(「改正割賦販売法」)が公布され、クレジットカード(以下カードという)を取り扱う加盟店さまにおいて、「カード番号等の適切な管理」と「不正利用防止対策」の両方の措置を講じることが義務付けられ、2018年6月1日に施行されました。
つきましては、施行に伴い加盟店さまが求められる対応内容をご案内申し上げます。

対応がお済でない場合は、以下対応を実施いただくことが必要となりますので、ご注意ください。

なお、内容は、改正割賦販売法上の義務を満たすための、実務上の指針と位置づけられる「クレジット取引セキュリティ対策協議会」策定の「クレジットカード・セキュリティガイドライン」に基づくものです。
今後、「ガイドライン」は変更される可能性がございますので、ご留意ください。

加盟店さまにご対応いただくこと
  カード番号等の適切な管理 不正利用防止対策
対面加盟店さま カード情報保護*について適切な保護措置をとること。
(非保持化又はPCIDSS準拠)
ICカードに対応した端末の設置
非対面(通信販売)
加盟店さま
なりすましによる不正利用防止対策の実施
  • *カード情報保護について
  • ○非保持化とは、電磁的に送受信しないこと、すなわち自社で保有する機器・ネットワークにおいて「カード情報」を電磁的情報として「保存」・「処理」・「通過」しないことをいいます。
    なお、決済専用端末から直接、外部情報処理センター等にカード情報を伝送している場合は、非保持とします。
  • ○PCIDSS(Payment Card Industry Data Security Standard)とは、クレジットカード会員データを安全に取り扱うことを目的として策定された国際ブランドが策定した基準です。
    日本カード情報セキュリティ協議会のホームページ参照)
  • ○カード情報を保持する場合には、原則PCIDSS準拠が必要ですが、暗号化等の処理によりカード番号を特定できない状態とし、自社内で復号できない仕組みであれば、非保持化と同等/相当のセキュリティ措置として扱うことができる場合があります。

対面加盟店さまの場合

決済専用端末(CCT)を設置している加盟店さま
カード会社より貸与されているICカードに対応した決済専用端末(ICカードを挿入し、暗証番号を入力する方式)を設置し、外部の情報処理センター等に直接伝送していることが必要です。
なお、この決済専用端末は、「カード番号等の適切な管理」、および「不正利用防止対策」の対応が済んでいます。
POSシステムと端末間で、取引金額、決済結果等を連動させている加盟店さま
ICカードに対応した決済端末(暗証番号の入力方式)が設置されていることが必要です。
  • ・ただし、カード情報をPOSシステム等自社システム内に取り込んでいる場合は、「カード情報の非保持化」または「PCIDSS準拠」が必要です。
  • ・ご不明な点があれば、POS機器メーカーにご照会ください。
カード処理機能を持ったPOSを設置している加盟店さま
次の①及び②の両方の対応が必要です。
  • ①「カード番号等の適切な管理」として
    「カード情報の非保持化」または「PCIDSS準拠」が必要です。(上記の「*カード情報保護について」参照)
  • ②「不正利用防止対策」として
    ICカードに対応したPOS(暗証番号を入力する方式)が設置されていることが必要です。
  • ・ご不明な点があれば、POS機器メーカーにご照会ください。

非対面(通信販売)加盟店さまの場合

次の①及び②の両方の対応が必要です。
  • ①「カード番号等の適切な管理」として
    「カード情報の非保持化」または「PCIDSS準拠」が必要です。(上記の「*カード情報保護について」参照)
    • ・EC加盟店において、決済代行業者(PSP)が提供するシステムを利用する場合があります。この場合、加盟店の機器・ネットワークを通過する「通過型」と、通過しない「非通過型」に大別されますが、「通過型」の場合には、カード情報が窃取されるリスクがあるので、「非通過型」を推奨しております。
      どちらの仕組みを導入しているかについては、契約先の決済代行業者にご確認ください。
      なお、「通過型」の場合には、カード情報を保持することになりますので、EC加盟店においてPCIDSS準拠が必要です。
  • ②「不正利用防止対策」として
    各加盟店は、業種及び商材等に応じた不正利用の被害発生状況等を踏まえ、不正利用対策の方策を導入することが必要です。
    具体的な方策導入は次の通りです。
全ての加盟店さま
  ◯カード取引に対する善管注意義務の履行。
◯オーソリゼーション処理。
高リスク加盟店さま
  • ◯デジタルコンテンツ(オンラインゲームを含む)、家電、電子マネー、チケット、宿泊予約サービス*のいずれかを扱う加盟店さまは、次の4方策の内、1方策以上を導入。

なお、不正利用の被害発生状況によっては、カード会社(アクワイアラー)から、上記以外の対応をお願いする場合があります。

  • *宿泊予約サービスとは、宿泊施設の予約手配を提供する宿泊予約サイトを示します。
    但し、宿泊施設等が直接運営し、宿泊予約の受付等を行うサイトは対象に含まれません。

<不正利用対策の方策>

本人認証(3Dセキュア等)  
カード会員のみが知るパスワード等やその他デバイス情報等を用いて本人認証を行う手法。
券面認証(セキュリティコード)  
カード券面のセキュリティコード(3~4桁の数字)を認証することにより真正なカードが利用されていることを確認する手法。
属性・行動分析  
非対面でのカード利用時、加盟店が購入者のデバイス情報、IPアドレス、過去の取引情報、取引頻度等に基づいたリスク評価(スコアリング等)を行い、不正な取引であるか判定する手法。
配達先情報  
不正利用された注文等の配達先情報を蓄積し、取引成立後であっても商品等の配送を事前に止めることで不正利用被害を防止する手法。

<関連リンク集>

<本件に関するお問い合わせ先>

  • UC加盟店デスク  03-6688-7177
  • 受付時間 火~金(祝日、年末年始(12/30~1/3)を除く) 11:00~18:00

クレジットカード番号等の漏えい・紛失等が発生した場合の連絡について

貴社および貴社の委託先でクレジットカード番号等の漏えいや紛失等の事故が発生した場合には、速やかに「UC加盟店デスク」あてにご連絡をお願いいたします。
UC加盟店デスク お問合せ先
  • 東京:03-6893-8300
  • 大阪:06-7709-8560

(10:00~18:00 土・日・祝・年末年始(12/30~1/3)休)

漏えい・紛失等が発生した場合の再発防止について
貴社または貴社委託先でのクレジットカード番号等の漏えいや紛失等の事故が発生した場合には、当社は貴社または貴社の委託先に対して、類似の漏えい・紛失等の事故が再発しないための対応措置をお願いすることとなります。
貴社の委託先へのご案内について
上記内容については、貴社より委託先に対してもご案内をお願いいたします。