2016年12月に「割賦販売法の一部を改正する法律」（「改正割賦販売法」）が公布され、クレジットカード（以下カードという）を取り扱う加盟店さまにおいて、「カード番号等の適切な管理」と「不正利用防止対策」の両方の措置を講じることが義務付けられ、2018年6月1日に施行されました。
つきましては、施行に伴い加盟店さまが求められる対応内容をご案内申し上げます。

対応がお済でない場合は、以下対応を実施いただくことが必要となりますので、ご注意ください。

なお、内容は、改正割賦販売法上の義務を満たすための、実務上の指針と位置づけられる「クレジット取引セキュリティ対策協議会」策定の「クレジットカード・セキュリティガイドライン」（以下、ガイドラインという）に基づくものです。
今後、「ガイドライン」は変更される可能性がございますので、ご留意ください。

加盟店さまにご対応いただくこと

		カード番号等の適切な管理		不正利用防止対策
対面加盟店さま			カード情報保護＊について適切な保護措置をとること。 （非保持化又はPCIDSS準拠）	ICカードに対応した端末の設置
	非対面 （通信販売） 加盟店さま				・カード取引に対する善管注意義務の履行 ・オーソリゼーション処理
	EC加盟店		脆弱性対策		なりすましによる不正利用防止対策の実施 ・不正ログイン対策 ・EMV3-Dセキュアの導入

• ＊カード情報保護について
• ○非保持化とは、電磁的に送受信しないこと、すなわち自社で保有する機器・ネットワークにおいて「カード情報」を電磁的情報として「保存」・「処理」・「通過」しないことをいいます。
  なお、決済専用端末から直接、外部情報処理センター等にカード情報を伝送している場合は、非保持とします。
• ○PCIDSS(Payment Card Industry Data Security Standard)とは、クレジットカード会員データを安全に取り扱うことを目的として策定された国際ブランドが策定した基準です。
  （日本カード情報セキュリティ協議会のホームページ参照）
• ○カード情報を保持する場合には、原則PCIDSS準拠が必要ですが、暗号化等の処理によりカード番号を特定できない状態とし、自社内で復号できない仕組みであれば、非保持化と同等／相当のセキュリティ措置として扱うことができる場合があります。
• ○脆弱性対策とは、ECサイトからのカード番号等の情報漏えいやシステムの設定不備を狙った攻撃、EC サイトのクレジットカード登録・決済機能を悪用する手口の対策として、EC加盟店のシステムやWebサイトのウイルス対策、管理者の権限の管理、デバイス管理などを行うものです。
• ○不正ログイン対策とは、不正なアカウントを登録して不正利用する「不正アカウント作成」と、窃取した会員情報やアカウント、パスワード等を利用して不正にログインし、属性情報の変更等を行い不正利用する「アカウント乗っ取り」等の不正手口の対策として、決済前の「会員登録時」「ログイン認証時」「属性情報変更時」のそれぞれの場面を考慮したアクセス制限やに要素認証等適切な対策を講じるもの。
• ○EMV3-Dセキュアとは、オンラインショッピング時にクレジットカード番号等の情報の盗用による不正利用を防ぎ、安全にクレジットカード決済を行うために国際ブランドが推奨する本人認証サービスです。
• 各対策の詳細は一般社団法人日本クレジット協会ホームページ、または当社ホームページをご参照ください。

対面加盟店さまの場合

決済専用端末（CCT)を設置している加盟店さま

カード会社より貸与されているICカードに対応した決済専用端末（ICカードを挿入し、暗証番号を入力する方式）を設置し、外部の情報処理センター等に直接伝送していることが必要です。
なお、この決済専用端末は、「カード番号等の適切な管理」、および「不正利用防止対策」の対応が済んでいます。

POSシステムと端末間で、取引金額、決済結果等を連動させている加盟店さま

ICカードに対応した決済端末（暗証番号の入力方式）が設置されていることが必要です。

• ・ただし、カード情報をPOSシステム等自社システム内に取り込んでいる場合は、「カード情報の非保持化」または「PCIDSS準拠」が必要です。
• ・ご不明な点があれば、POS機器メーカーにご照会ください。

カード処理機能を持ったPOSを設置している加盟店さま

次の①及び②の両方の対応が必要です。

• ①「カード番号等の適切な管理」として
  「カード情報の非保持化」または「PCIDSS準拠」が必要です。（上記の「＊カード情報保護について」参照）
• ②「不正利用防止対策」として
  ICカードに対応したPOS（暗証番号を入力する方式）が設置されていることが必要です。
• ・ご不明な点があれば、POS機器メーカーにご照会ください。

非対面（通信販売）加盟店さまの場合

次の①②③全ての対応が必要です。

• ①「カード番号等の適切な管理」として
  「カード情報の非保持化」または「PCIDSS準拠」が必要です。（上記の「＊カード情報保護について」参照）
  
  • ・通信販売加盟店において、決済代行業者（PSP)が提供するシステムを利用する場合があります。この場合、加盟店の機器・ネットワークを通過する「通過型」と、通過しない「非通過型」に大別されますが、「通過型」の場合には、カード情報が窃取されるリスクがあるので、「非通過型」を推奨しております。
    どちらの仕組みを導入しているかについては、契約先の決済代行業者にご確認ください。
    なお、「通過型」の場合には、カード情報を保持することになりますので、通信販売加盟店においてPCIDSS準拠が必要です。
• ②漏洩対策強化のため、全てのEC加盟店は、自社システムやサイト自体の脆弱性対策の基本的なセキュリティ対策の実施が必要です。
  詳細はガイドラインをご参照ください。
• ③「不正利用防止対策」として
  各加盟店は、業種及び商材等に応じた不正利用の被害発生状況等を踏まえ、不正利用対策の方策を導入することが必要です。
  具体的な方策導入は次の通りです。

全ての加盟店さま
	◯カード取引に対する善管注意義務の履行 ◯オーソリゼーション処理
	EC加盟店さま
	◯不正ログイン対策の実施 ◯EMV3-Dセキュアの導入

EC加盟店における不正利用は、顧客がWebサイトの利用を開始する場面から、商品を購入する場面、商品の受け渡しが完了する場面までの取引の流れの中で様々な手口により行われており、不正利用の手口や被害状況に応じた、再発を防止するための追加対策の導入が必要です。
【補足】
ガイドラインでは、窃取された会員情報等により利用会員登録やログインがされる「カード決済前」、「なりすまし」によるカード利用がされる「カード決済時」、購入した商品が配送・転売される「カード決済後」という不正利用の流れである「線」に対して対策を講じ、不正利用対策の実効性を高めることが必要である。これを「線の考え方」に基づく対策の導入が求められております。

＜不正利用対策の方策＞

出典：クレジットカード・セキュリティガイドライン

＜関連リンク集＞

• 割賦販売法の一部を改正する法律について
  http://www.j-credit.or.jp/download/170126_news_a1.pdf
• クレジットカード・セキュリティガイドライン
  http://www.j-credit.or.jp/security/document/index.html

＜本件に関するお問い合わせ先＞

• UC加盟店デスク　　03-6688-7177
• 受付時間　火～金（祝日、年末年始（12/30～1/3）を除く）　11：00～18：00

貴社および貴社の委託先でクレジットカード番号等の漏えいや紛失等の事故が発生した場合には、速やかに「ＵＣ加盟店デスク」あてにご連絡をお願いいたします。

UC加盟店デスク お問合せ先

• 
• 

（10：00～18：00　土・日・祝・年末年始（12/30～1/3）休）

漏えい・紛失等が発生した場合の再発防止について

貴社または貴社委託先でのクレジットカード番号等の漏えいや紛失等の事故が発生した場合には、当社は貴社または貴社の委託先に対して、類似の漏えい・紛失等の事故が再発しないための対応措置をお願いすることとなります。

貴社の委託先へのご案内について

上記内容については、貴社より委託先に対してもご案内をお願いいたします。