クレジット決済のセキュリティー対策義務化

Q 割賦販売法が改正され、クレジットカード決済について店舗でのセキュリティー対策が義務化されると聞きました。詳細について教えてください。(飲食店)

<回答者>経済産業省商務情報政策局
商務流通保安グループ
商取引監督課課長補佐 芳田直樹

A 近年、クレジットカード加盟店におけるカード番号等の漏えい事件や不正使用被害が増加しています。こうした状況を踏まえ、割賦販売法を改正することにより、革新的な金融サービス事業を行うフィンテック企業の決済代行業への参入を見据えつつ、安全安心なクレジットカード利用環境を実現するための必要な措置を講じています。改正の内容で中小企業に最も影響が大きいと思われるのは、クレジットカード情報の適切な管理や不正使用の防止など、加盟店にセキュリティー対策が義務付けられたことです。

 クレジットカードの磁気ストライプを読み取るやり方で決済をすると、決済端末やPOSレジに16ケタのカード番号と有効期限に関するデータが残ってしまいますが、このデータを外部のハッカーが不正アクセスして盗み出し、偽造カードを作って不正使用する被害が発生しています。またセキュリティー対策が不十分なネット加盟店がカード情報を盗まれ、なりすましによる不正使用被害も後を絶ちません。こうした不正使用を防ぐため、今改正では加盟店に対し、クレジットカード番号等の情報管理や自らの委託先に情報管理に係る指導等を行うことと、不正利用防止対策を行うことが義務づけられました。安全安心なクレジットカード利用環境を実現することで、2020年の東京オリンピック・パラリンピックに向けたインバウンド需要のさらなる取り込みが期待されています。

端末購入費用で補助も

 では改正法により義務付けられるセキュリティー対策として、中小企業は具体的にどのような対策をとればよいのでしょうか。その具体的な義務履行方法に関する指針として、クレジット取引セキュリティ対策協議会が2016年2月に公表した実行計画があります。その中でカード情報の管理について、そもそもクレジットカード番号などの情報を持たない「カード情報の非保持化」を推奨し、仮に保持する事業者については、カードデータセキュリティーの国際基準である「PCIDSS」に準拠するよう求めています。

 さらに実行計画では不正利用の防止のため、決済端末の100%IC対応化の実現を目指しています。ICカードは情報が暗号化されているため、カードと決済端末の両方をIC対応化すれば偽造カードによる被害を防止できるからです。現在カードの共同利用端末(CCT)の7割はIC対応化しており、カード会社から貸与されている加盟店は今後徐々に切り替わっていくと予想されますが、未対応の決済端末を自社で購入している会社は、改正法の施行(2018年5~6月頃めど)までには対応する必要が出てきます。

 またネット加盟店では、クレジットカード決済時に、カード番号と有効期限だけでなく、パスワードなど本人しか知り得ないプラスアルファの情報を入力してもらう必要があるでしょう。ちなみに決済端末の購入において、複数税率対応レジの導入に伴う場合や、経営力向上を支援するITシステムの導入に伴う場合、外国人観光客の消費喚起に向けた商店街での取り組みに伴う場合などで補助金を活用することが可能です。

(注) 当Q&Aの掲載内容は、個別の質問に対する回答であり、株式会社TKCは当Q&Aを参考にして発生した不利益や問題について何ら責任を負うものではありません。 

▲ 戻る