CLOSE
記事を読む

法令上の基準を満たしていない? 対応が遅れるクレジットカード加盟店のセキュリティ対策

2018/08/29

割賦販売法の一部を改正する法律(改正割賦販売法)が2018年6月に施行された。通販などの非対面店舗を含むクレジットカード加盟店に対し、カード情報のセキュリティ強化などが求められているが、施行までに対応が間に合わずに法令上の基準を満たしていない企業も多い。現時点で罰則は明記されていないが、未対応の場合は加盟店契約解除などの可能性もある。通販加盟店向けカード情報非保持化サービス「Pay TG」などを手掛けるリンクのセキュリティプラットフォーム事業部 滝村享嗣事業部長に、未対応の場合のリスクや適切な対処法などを聞いた。

creditcard_shopping

 

対策をとらない加盟店に対して、一部サービスの停止をアナウンスする決済代行事業者も

キャッシュレス化が進む昨今、クレジットカードの利用環境整備に向け、カード情報の適切な管理と不正使用防止対策の実施が義務付けられた「改正割賦販売法」。セキュリティ対策の実務上のガイドラインとなる「実行計画2018」(クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画)では、電話・はがき・FAX等で注文を受け付ける事業者を含めたEC・通販加盟店におけるクレジットカード情報の非保持化、もしくはクレジットカード情報保護のための国際的なセキュリティ基準であるPCI DSS(Payment Card Industry Data Security Standard)に準拠したシステム環境の整備が示されている。

すでに施行されているが、具体的な対応策に乗り出さずに法令上の基準を満たしていない状態になってしまっている加盟店も少なくない。滝村氏によると、大手加盟店の場合でも2019年を目処に対応としているところもあるという。「基本的にはPCI DSSへの準拠が求められていますが、システム導入の敷居は高く、コストも初期費用だけで数千万円にのぼるなど負担が小さくありません。そのため慎重にならざるを得ない背景があります。一方で非保持化もしくはPCI DSS準拠のいずれかの対策をとらない加盟店に対して、一部サービスの停止をアナウンスする決済代行事業者も増えています」(滝村氏)。

takimura_900_600

株式会社リンク セキュリティプラットフォーム事業部 事業部長 滝村享嗣氏

 

法令上の基準を満たしていない状態が続けばリスクはさらに大きくなる

未対応の加盟店に対し、現時点では罰則は定められていない。しかし、今回の改正ではクレジットカード会社は経済産業省への登録と、加盟店契約を結ぶ販売店に対し適切性や安全性を調査することが義務付けられた。これにより、法令上の基準を満たしていない状態が続けばクレジットカード会社から加盟店契約を解除され、決済不可となる可能性がある。滝村氏によると、「加盟店の管理はアクワイアラー(加盟店契約会社)が行い、決済代行・カード会社は(セキュリティ対策の)達成状況を定期的に確認されていると思います」という。

万が一、カード情報の漏洩が起きてしまった場合のリスクも大きい。「漏洩時には賠償だけでなく原因特定のための調査なども必要。カード情報が不正に利用された場合、たとえ数十枚、数百枚レベルでも被害額が数百万円以上にのぼるケースが多いですね。当然、被害額の負担も行わなければならないため、何千万、何億円の損失となることもあり得ます。しかもセキュリティ対策が完了するまでの間、クレジットカード決済を受け付けることもできなくなります」と滝村氏は警鐘を鳴らす。加盟店には早急な対応が求められているが、合理的かつ具体的なスケジュールで対策を進めることができれば、アクワイアラーから契約解除の措置をすぐに講じられることは現時点では可能性は少ないという。

PayTG_gaiyou

 

コストを抑えてカード情報非保持化を実現する方法

加盟店の多くは、コストや高度な専門知識が必要となるPCI DSS準拠よりも非保持化を選択もしくは検討している。非保持化とは「自社の保有する機器やネットワークにカード情報を保存・処理・通過しない」とされており、リンクが提供する「Pay TG」をはじめ、対応したソリューションも続々登場している。「Pay TG」は電話でヒアリングしたカード情報をPCI PTS認定済の信用照会端末(CCT)相当/同等の決済専用端末に入力することで、PCI DSSに準拠済みのゲートウェイ経由で決済代行会社へ送信する「外回り」方式を実現。大幅な業務フローの変更を行わず、現行の決済代行事業者の継続利用も可能だ。「ほかにもセキュリティコントロールされたタブレットで操作するなどのサービスがありますが、金額の打ち間違いが発生してしまうなどのオペレーション上の課題が少なくありません。実際にオペレーションするスタッフの意見も参考にしてもらい、自社に合った対応策を検討してほしいですね」(滝村氏)。

このほか、「実行計画2018」には不正使用対策として、新技術の検証をはじめとした対応策をクレジットカードに携わる業界全体で進めるといった重点的な取り組みも明記されている。巧妙化する不正利用被害を防ぐためにも、常に最新の動向をチェックし、都度の対応が必要不可欠だ。

 

Pay TG_logoNEW

 

 

CLOSE

このコンテンツは端末をタテにしてご覧ください