EN

NRIセキュア ブログ

改正割賦販売法でカード決済事業者に求められるセキュリティ対策

目次

     Debit card swiping on card-reader device

     2015年に120億円、2016年は142億円、2017年は236億円超。

     この年々増加している金額は、日本におけるクレジットカード不正利用被害額である。昨今、世界的にクレジットカードの不正利用対策が進む中、対策の遅れている日本が格好のターゲットと言われている。

     

     待ったなしの状況にメスを入れるべく、改正割賦販売法(以下、改正割販法)が2018年6月1日に施行される。これにより、クレジットカード会社、決済代行事業者、EC・通販事業者、対面決済加盟店等のカード情報を取り扱うあらゆる事業体はセキュリティ対策の強化が義務付けられる。

     

     そして、この改正割販法の成立、施行に備えるため、経済産業省が支援し、一般社団法人日本クレジット協会(以下、JCA)が事務局を務めるクレジット取引セキュリティ対策協議会は2016年から、カード情報取り扱い事業者のとるべきセキュリティ対策をより具体的に記述した文書「クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画」(以下、実行計画)を毎年公開、改訂してきた。

     

     改正割販法施行間近の2018年3月1日に2018年版の実行計画(以下、実行計画2018)が公開されたため、その全体概要とポイントについて紹介する。

     

    NRI Secure Insight 2023

    『改正割販法』『実行計画』『PCI DSS』の関係とは?

     クレジットカードのセキュリティといえば、グローバルなクレジットカード情報セキュリティ基準であるPCI DSSを聞いたことがある方も多いだろう。

     

    PCI DSS(Payment Card Industry Data Security Standard)とは、クレジットカード国際ブランド5社(VISA, Master, JCB, AMEX, Discover)が共同で策定した情報セキュリティ基準であり、クレジットカード情報を保護するためのシステム、運用、ポリシー、物理セキュリティに至るまで非常に網羅的かつ具体的に整理されたセキュリティ基準となっている。

     そして、PCI DSSのセキュリティ要件を満たすことにより、クレジットカード情報保護のための一定のセキュリティレベルが確保できていることを社内および対外的に示すことができるのである。

     では、法律である改正割販法、そして、実行計画、PCI DSSの関係はどのようになっているのだろうか。

     

     改正割販法自体に「実行計画」や「PCI DSS」という固有の文書やセキュリティ基準名称は書かれていない。これは日々、攻撃手法とその対策が進化するセキュリティ分野において、時代の流れによって変わる可能性のある固有の名称を、法律の条文に取り入れてしまうことで、その都度、名称変更等による法改正を避けるためである。

     

     よって、改正割販法の中では、クレジットカード情報取り扱い事業者に対し、セキュリティ対策を義務付けることの記述に留め、具体的な対策や取り組みを示した規則については認定割賦販売協会であるJCAが制定することとしている。([割賦販売法(後払分野)に基づく監督の基本方針]より)

     

     それを受ける形でJCAが事務局を務めるクレジット取引セキュリティ対策協議会が、具体的に取るべきセキュリティ対策の水準等を載せた文書「実行計画」を策定・提示している。そして、「実行計画」において、求めているセキュリティ対策水準が「PCI DSS準拠」であり、加盟店に限っては「PCI DSS準拠」の他にも、クレジットカード情報を原則持たない「非保持化(同等/相当含む)」を選択肢のひとつとしている。

    Confidential Concept. Colored Document Folders Sorted for Catalog. Closeup View. Selective Focus.

     

     「非保持化(同等/相当含む)」については後述するが、このような流れで改正割販法によって、「実行計画」に従うこと、そして、「PCI DSS準拠」、または「非保持化(同等/相当含む)」のセキュリティ対策をとることが加盟店を含むクレジットカード情報取り扱い事業者に対し、法的に義務付けられたのである。

     なお、「PCI DSS準拠」には、処理件数等の基準により外部審査を必要とする場合と、自己問診にて準拠証明を行う場合がある。前者の場合は認定審査機関(QSA)による訪問審査が必要となり、当社は、その認定審査機関(QSA)として、改正割販法対応にあたりカード会社(イシュア)、加盟店管理会社(アクワイアラ)からサービスプロバイダ、加盟店まで業界の多くのお客様に対し、PCI DSS準拠支援、準拠審査・認定、および実行計画に記載の非保持化の両面のサポートを行っている。

    「実行計画」の三本柱

     最初の「実行計画」は2016年2月に公開された。その中では、特に日本におけるカード情報漏えい事故の多くが非対面加盟店で起きている状況から、非対面加盟店の対策期限は2018年3月末とされ、対面加盟店の対応期限は2020年3月末までと定められた。これにより、多くのクレジットカード情報取り扱い事業者は情報収集や対策に乗りだすことになったのである。

     

     そして、2017年3月に「実行計画2017」、2018年3月に「実行計画2018」と、毎年の改訂を経て、各クレジットカード情報取り扱い事業者が対応を進める中で「実行計画」上、曖昧となっていた部分や課題に対し、JCAや経済産業省、業界団体による議論が重ねられ、その解決案が提示された形となっている。

    「実行計画2018」の構成として、以下のセキュリティ対策の3本柱を掲げている。

     

    3つの柱

      これらの内容を実行計画2018において多くの加筆・修正がされた(1)を中心として、順に見ていきたい。

    クレジットカード情報保護対策

     クレジットカード情報保護対策の章は、ECや通販の非対面取引や、店舗等による対面取引に関わらず、クレジットカード情報が『保存』『処理』『通過』されるシステムやネットワーク、媒体に対し、カード情報を保護するための対策が記述されている。そして、「非保持化」や「PCI DSS準拠」はまさにこの保護対策である。

    非保持化とは?

     ここで注意が必要なのは、非保持化の適用対象は加盟店であり、イシュア、アクワイアラはもちろん、決済代行事業者やコールセンター、パンチ業者等のサービスプロバイダ(PSP)に対する考え方ではないということである。

     例外として、委託元の加盟店が1社のみである場合に限り、サービスプロバイダであっても非保持化適用可能とクレジット取引セキュリティ対策協議会は認めているものの、あくまで例外としている。これはサービスプロバイダが情報漏えいを起こした場合の被害が複数加盟店に及ぶ可能性が高いため、十分なセキュリティ対策が必要という意図と考えられる。

     

     前述の非保持化の定義を前提とし、「実行計画2018」によって、以下の表のとおり、非対面加盟店(EC・通販事業者)、対面加盟店における非保持化策がすべて出揃った形となった。

     今後も非保持化策が追加になる可能性はあるものの2018年3月時点では追加検討されている非保持化策はない。

    業態毎の非保持化策a

    図. 加盟店業態毎の非保持化策

     

     ここまでは、いよいよ2018年6月1日に施行される改正割賦販売法とその実行計画の中から「クレジットカード情報保護対策」の概要についておさらいしてきた。

     以下のリンクより、非対面加盟店(EC)、非対面加盟店(MO・TO)、対面加盟店それぞれの非保持化策のポイントを整理した資料を無料で公開しているので、ぜひダウンロードをしてご一読頂ければ幸いである。

    新規CTA

     

    新規CTA