オンラインマーケットプレイス協議会が発足しました
カード加盟店のセキュリティ対策義務
[2016年12月28日(Wed)]
割賦販売法改正内容の続きです。今回は、これまで割販法の直接の規制対象ではなかったカード加盟店に対し、セキュリティ対策の義務が課されたことについて書きます。
まずは条文から。前回の記事にも同じ条文を貼り付けましたが、省略した部分もあるので再掲します。下線は私です(以下同じ)。余談ですが「第35条のナントカのカントカ」という条番号がたくさんあり過ぎて、探すのが大変です。かっこの中にかっこがあるのも辛いです。こういう文章と日常的に向き合っている法律家や役人を尊敬します。
第35条の16(クレジットカード番号等の適切な管理)
クレジットカード番号等取扱業者(次の各号のいずれかに該当する者をいう。以下同じ。)は、経済産業省令で定める基準に従い、その取り扱うクレジットカード番号等(包括信用購入あつせん業者又は二月払購入あつせんを業とする者(以下「クレジットカード等購入あつせん業者」という。)が、その業務上利用者に付与する第2条第3項第1号の番号、記号その他の符号をいう。以下同じ。)の漏えい、滅失又は毀損の防止その他のクレジットカード番号等の適切な管理のために必要な措置を講じなければならない。
ややこしいところを除いて主語と述語だけにしてみると、「次の一から三のどれかに当たる人は、クレジットカード番号を適切に管理するために必要な措置を講じなければいけない」ということですね。現行法では、「クレジットカード等購入あつせん業者」(イシュア)だけがその義務を負っていましたが、範囲が広がり、一号から三号のどれかに当たる場合は「クレジットカード番号等取扱業者」という名前がつけられて、新たに義務が課された訳です。
「クレジットカード番号等」の定義も(今回の改正部分ではないですが)一応見ておきます。「イシュアが利用者に付与する番号、記号その他の符号」とありますが、「第2条第3項第1号の」とは何でしょうか。第2条第3項は「包括信用購入あつせん」の定義です。その中で、「カード等」の定義として、「それを提示し若しくは通知して、又はそれと引換えに、特定の販売業者から商品若しくは権利を購入し、又は特定の役務提供事業者から有償で役務の提供を受けることができるカードその他の物又は番号、記号その他の符号」と書かれています。(余談ですが、対面でカード本体を見せる場合とオンラインで番号を入力する場合をいっぺんに定義するのは大変ですね。)
「クレジットカード番号等」は、「イシュアが利用者に付与する、そういう役割の(それを示せば買い物ができる)番号など」と読めば良いのかなと思います。「カード等」には自社割賦用のカードも含まれますが、セキュリティ対策が要求されるのは「クレジットカード等」だけなのですね。「クレジットカード等」の「等」には有効期限や暗証番号が含まれるようです。
「適切な管理」とは「漏えいや滅失や毀損を防ぐ」ことと書かれています。そのために何が「必要な措置」かについては、省令で基準が決められます。
では、義務を課される「クレジットカード番号等取扱業者」とは誰でしょうか。第35条の16第1項は、このように続いています。
一 クレジットカード等購入あつせん業者
二 特定のクレジットカード等購入あつせん業者のために、利用者がカード等を提示し若しくは通知して、又はそれと引換えに特定の販売業者から商品若しくは権利を購入し、又は特定の役務提供事業者から役務の提供を受けるときは、自己の名をもって当該販売業者又は当該役務提供事業者に包括信用購入あつせん又は二月払購入あつせん(略)に係る購入の方法により購入された商品若しくは権利の代金又は受領される役務の対価に相当する額の交付(当該販売業者又は当該役務提供事業者以外の者を通じた当該販売業者又は当該役務提供事業者への交付を含む。)をすることを業とする者(次条及び第35条の18第1項において「立替払取次業者」という。)
三 クレジットカード等購入あつせんに係る販売の方法により商品若しくは権利を販売する販売業者(以下「クレジットカード等購入あつせん関係販売業者」という。)又はクレジットカード等購入あつせんに係る提供の方法により役務を提供する役務提供事業者(以下「クレジットカード等購入あつせん関係役務提供事業者」という。)
一号は、イシュアのことです。前回も書きましたが、マンスリークリアも割賦販売も含めてクレジットカードを発行する事業者(イシュア)を総称して「クレジットカード等購入あつせん業者」と言っています。オンアス取引の場合は、アクワイヤラーも兼ねています。
二号は、オフアス取引の場合のアクワイヤラーのことです。
三号がいわゆる加盟店です。「クレジット決済で商品やサービスを提供する事業者」が、新たに「クレジットカード等購入あつせん関係販売業者」「クレジットカード等購入あつせん関係役務提供事業者」と名付けられました。現行法では、「クレジットカード番号等保有業者」の一つとしてカード会社の「指導を受ける」立場でしたが、今回の改正で、直接の規制対象となったのです。
この3種類の事業者(クレジットカード番号等取扱業者)には、もう一つ、「委託先に対する指導義務」が課されました。加盟店の委託先として真っ先に思い浮かぶのはPSP(決済代行会社)ですが、これに限らず、顧客のクレジットカード番号を取り扱う全ての事業者(例えば不正検知サービスを提供する事業者なども含まれる?)と考えて良いように思います。
第35条の16(クレジットカード番号等の適切な管理)
3 クレジットカード番号等取扱業者は、クレジットカード番号等取扱受託業者(当該クレジットカード番号等取扱業者からクレジットカード番号等の取扱いの全部若しくは一部の委託を受けた第三者又は当該第三者から委託(二以上の段階にわたる委託を含む。)を受けた者をいう。以下同じ。)の取り扱うクレジットカード番号等の適切な管理が図られるよう、経済産業省令で定める基準に従い、クレジットカード番号等取扱受託業者に対する必要な指導その他の措置を講じなければならない。
これら加盟店に新たに課された義務がきちんと果たされているかどうかについては、基本的には、アクワイヤラー/登録PSPが、加盟店調査の一環としてチェックすることになります。
第35条の17の8(クレジットカード番号等取扱契約締結事業者の調査等)
クレジットカード番号等取扱契約締結事業者は、クレジットカード番号等取扱契約を締結しようとする場合には、その契約の締結に先立つて、経済産業省令で定めるところにより、販売業者又は役務提供事業者によるクレジットカード等の適切な管理及び利用者によるクレジットカード番号等の不正な利用の防止を図るため、クレジットカード番号等取扱契約を締結しようとする販売業者又は役務提供事業者に関し、クレジットカード等の適切な管理又は利用者によるクレジットカード番号等の不正な利用の防止(以下「クレジットカード等の適切な管理」等という。)に支障を及ぼすおそれの有無に関する事項であって経済産業省令で定める事項を調査しなければならない。
2 クレジットカード番号等取扱契約締結事業者は、前項の規定による調査その他の方法により知つた事項からみて、販売業者又は役務提供事業者が講じようとする第35条の16第1項若しくは第3項又は第35条の17の15に規定する措置がそれぞれ第35条の16第1項若しくは第3項又は第35条の17の15に規定する基準に適合せず、又は適合しないおそれがあると認めるときは、クレジットカード番号等取扱契約を締結してはならない。
3 クレジットカード番号等取扱契約締結事業者は、そのクレジットカード番号等取扱契約を締結したクレジットカード等購入あつせん関係販売業者又はクレジットカード等購入あつせん関係役務提供事業者について、定期的に、又は必要に応じて、経済産業省令で定めるところにより、第1項に規定する事項を調査しなければならない。
4 クレジットカード番号等取扱契約締結事業者は、前項の規定による調査その他の方法により知つた事項からみて、クレジットカード等購入あつせん関係販売業者又はクレジットカード等購入あつせん関係役務提供事業者が講ずる第35条の16第1項若しくは第3項又は第35条の17の15に規定する措置がそれぞれ第35条の16第1項若しくは第3項又は第35条の17の15に規定する基準に適合せず、又は適合しないおそれがあると認めるときは、クレジットカード番号等取扱契約の解除その他の経済産業省令で定める措置を講じなければならない。
5 クレジットカード番号等取扱契約締結事業者は、経済産業省令で定めるところにより、第1項及び第3項の規定による調査に関する記録を作成し、これを保存しなければならない。
第1項は、いわゆる「初期(契約時)審査」です。アクワイヤラー/登録PSPは、加盟店契約を締結する前に、その加盟店がやろうとしているセキュリティ対策(漏えい防止措置や不正使用防止措置)が基準に合っているかどうか調査しなければならないのです。そして第2項で、「調査の結果がダメだったら加盟店契約を締結してはならない」とされています。
店舗としては、新たにカード決済を導入したくても、セキュリティ対応が不十分とみなされたら、加盟店契約ができないことになります。
のみならず、第3項では、既に加盟店契約をしている店舗についても、アクワイヤラー/登録PSPが「定期的に、又は必要に応じて」調査をすること=いわゆる「途上審査」も義務とされ、セキュリティ対応が不十分とみなされた加盟店は、最悪の場合、加盟店契約を解除されてしまう(それまでできていたカード決済ができなくなる)ことになりました。
さらに今回の改正では、加盟店(及びその委託先)に対しても、経済産業省が立入検査できると規定されました。
第41条(立入検査)
3 経済産業大臣は、この法律の施行に必要な限度において、その職員に、クレジットカード番号等取扱業者又はクレジットカード番号等取扱受託業者の営業所又は事務所に立ち入り、帳簿、書類その他の物件の検査(クレジットカード番号等の適切な管理等の状況に係る者に限る。)をさせることができる。
これはよっぽどの事態ですね。通常は、アクワイヤラー/登録PSPの加盟店管理に委ねるのだと思いますが、加盟店にとっては、いよいよ、セキュリティ対策を整えないとまずい状況になってきたと言えそうです。
まずは条文から。前回の記事にも同じ条文を貼り付けましたが、省略した部分もあるので再掲します。下線は私です(以下同じ)。余談ですが「第35条のナントカのカントカ」という条番号がたくさんあり過ぎて、探すのが大変です。かっこの中にかっこがあるのも辛いです。こういう文章と日常的に向き合っている法律家や役人を尊敬します。
第35条の16(クレジットカード番号等の適切な管理)
クレジットカード番号等取扱業者(次の各号のいずれかに該当する者をいう。以下同じ。)は、経済産業省令で定める基準に従い、その取り扱うクレジットカード番号等(包括信用購入あつせん業者又は二月払購入あつせんを業とする者(以下「クレジットカード等購入あつせん業者」という。)が、その業務上利用者に付与する第2条第3項第1号の番号、記号その他の符号をいう。以下同じ。)の漏えい、滅失又は毀損の防止その他のクレジットカード番号等の適切な管理のために必要な措置を講じなければならない。
ややこしいところを除いて主語と述語だけにしてみると、「次の一から三のどれかに当たる人は、クレジットカード番号を適切に管理するために必要な措置を講じなければいけない」ということですね。現行法では、「クレジットカード等購入あつせん業者」(イシュア)だけがその義務を負っていましたが、範囲が広がり、一号から三号のどれかに当たる場合は「クレジットカード番号等取扱業者」という名前がつけられて、新たに義務が課された訳です。
「クレジットカード番号等」の定義も(今回の改正部分ではないですが)一応見ておきます。「イシュアが利用者に付与する番号、記号その他の符号」とありますが、「第2条第3項第1号の」とは何でしょうか。第2条第3項は「包括信用購入あつせん」の定義です。その中で、「カード等」の定義として、「それを提示し若しくは通知して、又はそれと引換えに、特定の販売業者から商品若しくは権利を購入し、又は特定の役務提供事業者から有償で役務の提供を受けることができるカードその他の物又は番号、記号その他の符号」と書かれています。(余談ですが、対面でカード本体を見せる場合とオンラインで番号を入力する場合をいっぺんに定義するのは大変ですね。)
「クレジットカード番号等」は、「イシュアが利用者に付与する、そういう役割の(それを示せば買い物ができる)番号など」と読めば良いのかなと思います。「カード等」には自社割賦用のカードも含まれますが、セキュリティ対策が要求されるのは「クレジットカード等」だけなのですね。「クレジットカード等」の「等」には有効期限や暗証番号が含まれるようです。
「適切な管理」とは「漏えいや滅失や毀損を防ぐ」ことと書かれています。そのために何が「必要な措置」かについては、省令で基準が決められます。
では、義務を課される「クレジットカード番号等取扱業者」とは誰でしょうか。第35条の16第1項は、このように続いています。
一 クレジットカード等購入あつせん業者
二 特定のクレジットカード等購入あつせん業者のために、利用者がカード等を提示し若しくは通知して、又はそれと引換えに特定の販売業者から商品若しくは権利を購入し、又は特定の役務提供事業者から役務の提供を受けるときは、自己の名をもって当該販売業者又は当該役務提供事業者に包括信用購入あつせん又は二月払購入あつせん(略)に係る購入の方法により購入された商品若しくは権利の代金又は受領される役務の対価に相当する額の交付(当該販売業者又は当該役務提供事業者以外の者を通じた当該販売業者又は当該役務提供事業者への交付を含む。)をすることを業とする者(次条及び第35条の18第1項において「立替払取次業者」という。)
三 クレジットカード等購入あつせんに係る販売の方法により商品若しくは権利を販売する販売業者(以下「クレジットカード等購入あつせん関係販売業者」という。)又はクレジットカード等購入あつせんに係る提供の方法により役務を提供する役務提供事業者(以下「クレジットカード等購入あつせん関係役務提供事業者」という。)
一号は、イシュアのことです。前回も書きましたが、マンスリークリアも割賦販売も含めてクレジットカードを発行する事業者(イシュア)を総称して「クレジットカード等購入あつせん業者」と言っています。オンアス取引の場合は、アクワイヤラーも兼ねています。
二号は、オフアス取引の場合のアクワイヤラーのことです。
三号がいわゆる加盟店です。「クレジット決済で商品やサービスを提供する事業者」が、新たに「クレジットカード等購入あつせん関係販売業者」「クレジットカード等購入あつせん関係役務提供事業者」と名付けられました。現行法では、「クレジットカード番号等保有業者」の一つとしてカード会社の「指導を受ける」立場でしたが、今回の改正で、直接の規制対象となったのです。
この3種類の事業者(クレジットカード番号等取扱業者)には、もう一つ、「委託先に対する指導義務」が課されました。加盟店の委託先として真っ先に思い浮かぶのはPSP(決済代行会社)ですが、これに限らず、顧客のクレジットカード番号を取り扱う全ての事業者(例えば不正検知サービスを提供する事業者なども含まれる?)と考えて良いように思います。
第35条の16(クレジットカード番号等の適切な管理)
3 クレジットカード番号等取扱業者は、クレジットカード番号等取扱受託業者(当該クレジットカード番号等取扱業者からクレジットカード番号等の取扱いの全部若しくは一部の委託を受けた第三者又は当該第三者から委託(二以上の段階にわたる委託を含む。)を受けた者をいう。以下同じ。)の取り扱うクレジットカード番号等の適切な管理が図られるよう、経済産業省令で定める基準に従い、クレジットカード番号等取扱受託業者に対する必要な指導その他の措置を講じなければならない。
これら加盟店に新たに課された義務がきちんと果たされているかどうかについては、基本的には、アクワイヤラー/登録PSPが、加盟店調査の一環としてチェックすることになります。
第35条の17の8(クレジットカード番号等取扱契約締結事業者の調査等)
クレジットカード番号等取扱契約締結事業者は、クレジットカード番号等取扱契約を締結しようとする場合には、その契約の締結に先立つて、経済産業省令で定めるところにより、販売業者又は役務提供事業者によるクレジットカード等の適切な管理及び利用者によるクレジットカード番号等の不正な利用の防止を図るため、クレジットカード番号等取扱契約を締結しようとする販売業者又は役務提供事業者に関し、クレジットカード等の適切な管理又は利用者によるクレジットカード番号等の不正な利用の防止(以下「クレジットカード等の適切な管理」等という。)に支障を及ぼすおそれの有無に関する事項であって経済産業省令で定める事項を調査しなければならない。
2 クレジットカード番号等取扱契約締結事業者は、前項の規定による調査その他の方法により知つた事項からみて、販売業者又は役務提供事業者が講じようとする第35条の16第1項若しくは第3項又は第35条の17の15に規定する措置がそれぞれ第35条の16第1項若しくは第3項又は第35条の17の15に規定する基準に適合せず、又は適合しないおそれがあると認めるときは、クレジットカード番号等取扱契約を締結してはならない。
3 クレジットカード番号等取扱契約締結事業者は、そのクレジットカード番号等取扱契約を締結したクレジットカード等購入あつせん関係販売業者又はクレジットカード等購入あつせん関係役務提供事業者について、定期的に、又は必要に応じて、経済産業省令で定めるところにより、第1項に規定する事項を調査しなければならない。
4 クレジットカード番号等取扱契約締結事業者は、前項の規定による調査その他の方法により知つた事項からみて、クレジットカード等購入あつせん関係販売業者又はクレジットカード等購入あつせん関係役務提供事業者が講ずる第35条の16第1項若しくは第3項又は第35条の17の15に規定する措置がそれぞれ第35条の16第1項若しくは第3項又は第35条の17の15に規定する基準に適合せず、又は適合しないおそれがあると認めるときは、クレジットカード番号等取扱契約の解除その他の経済産業省令で定める措置を講じなければならない。
5 クレジットカード番号等取扱契約締結事業者は、経済産業省令で定めるところにより、第1項及び第3項の規定による調査に関する記録を作成し、これを保存しなければならない。
第1項は、いわゆる「初期(契約時)審査」です。アクワイヤラー/登録PSPは、加盟店契約を締結する前に、その加盟店がやろうとしているセキュリティ対策(漏えい防止措置や不正使用防止措置)が基準に合っているかどうか調査しなければならないのです。そして第2項で、「調査の結果がダメだったら加盟店契約を締結してはならない」とされています。
店舗としては、新たにカード決済を導入したくても、セキュリティ対応が不十分とみなされたら、加盟店契約ができないことになります。
のみならず、第3項では、既に加盟店契約をしている店舗についても、アクワイヤラー/登録PSPが「定期的に、又は必要に応じて」調査をすること=いわゆる「途上審査」も義務とされ、セキュリティ対応が不十分とみなされた加盟店は、最悪の場合、加盟店契約を解除されてしまう(それまでできていたカード決済ができなくなる)ことになりました。
さらに今回の改正では、加盟店(及びその委託先)に対しても、経済産業省が立入検査できると規定されました。
第41条(立入検査)
3 経済産業大臣は、この法律の施行に必要な限度において、その職員に、クレジットカード番号等取扱業者又はクレジットカード番号等取扱受託業者の営業所又は事務所に立ち入り、帳簿、書類その他の物件の検査(クレジットカード番号等の適切な管理等の状況に係る者に限る。)をさせることができる。
これはよっぽどの事態ですね。通常は、アクワイヤラー/登録PSPの加盟店管理に委ねるのだと思いますが、加盟店にとっては、いよいよ、セキュリティ対策を整えないとまずい状況になってきたと言えそうです。
