CANPAN ブログ検索
Loading
  • もっと見る

<< 2017年06月 >>
        1 2 3
4 5 6 7 8 9 10
11 12 13 14 15 16 17
18 19 20 21 22 23 24
25 26 27 28 29 30  
最新記事
カテゴリアーカイブ
月別アーカイブ
最新コメント
沢田登志子
ネット初心者 (11/09) 久米 信行
ネット初心者 (11/07) ななな
広告メール規制省令案パブコメ開始 (09/06) kanata
久しぶりのオークション (07/27) 事務局G
確定申告はお早めに (03/12) しゅう
確定申告はお早めに (03/11) 国際担当T
鬼のパンツ・・・?! (01/30) Sora
鬼のパンツ・・・?! (01/26) 沢田登志子
EC業界2008年年頭所感 (01/25) 国際担当T
アックゼロヨンアワード (01/09)
最新トラックバック
不正購入対策はいろいろ合わせ技で [2017年06月14日(Wed)]
割賦販売法改正でEC事業者に課されたもう一つの義務、「クレジットカード番号等の不正な利用を防止するために必要な措置」についてです。以前ぐちゃぐちゃした記事を書きましたが、今回は条文ベースではなく、「クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画-2017-」の内容をご紹介します。

カード会社(アクワイアラー)及びPSPは、不正使用被害が顕在化している加盟店のうち、「カード番号+有効期限」のみで決済を行い、何らの不正使用対策も講じていない加盟店に対して、本実行計画で整理した具体的な方策を中心とした不正使用対策の導入を促進することとする。
また、すでに何らかの不正使用対策を講じているが、不正使用被害が顕在化しており、不正使用に対する十分な抑止効果が見られない加盟店に対しては、従来の対策を見直し、必要な追加策を講じる等の対応を求めていくこととする。


カード不正使用(ショップにとっては不正購入)については、カード会社は原則リスクを負ってくれないので、ショップ側で既にいろいろ自衛手段を講じていることと思います。それでもまだ不十分ということで割賦販売法に規定され、「不正使用被害が顕在化している加盟店」は、漏えい対策と同様に、アクワイアラーから対策を求められることとなりました。まずは、ご自身のショップが「不正使用被害が顕在化しており、不正使用に対する十分な抑止効果が見られない加盟店」に当たってしまうかどうか、ご契約のPSP(決済代行会社)やカートさんに確認していただくのが先決かも知れません。不正使用被害が多い「特定5業種」として、「実行計画」では、デジタルコンテンツ(オンラインゲーム含む)、家電、ECモール、電子マネー、チケットが指定されています。(ECモールって「業種」なんですかね??)

さて、その上で、必要に応じ「対策を講じる」訳ですが、

それぞれの方策に課題等があるため、加盟店の業種及び商材等に応じた有効な方策を講じることが重要であり、それぞれのリスクの状況に応じて、以下の方策を基本としつつ、追加的な対策をとることを含め、多面的・重層的な対策を講じていくことで不正使用防止効果を高めていくことが求められる。

のだそうです。具体策がいくつか並べられているものの、どれも万能ではなく、何をやるべきかについては一律に決められない。それぞれ自社の状況に合った方策を組み合わせて実施してね、という、なんとも歯切れが悪いというか曖昧なルールになっています。以下、「実行計画」に挙げられた各方策に関する記述(メリットや課題)を要約してお伝えします。勝手な要約なので、正確なところは原文を見てください(p.39-43あたり)。

□本人認証(3Dセキュアや認証アシスト)
・課題は「カゴ落ち」(販売機会の逸失)
・パスワード未登録のカードは通ってしまう
・パスワード使い回しや漏えいで効果なし
→「動的(ワンタイム)パスワード」
 「指紋等の生体認証」に期待
*認証アシスト
・カード会員の属性情報を照合する方法
・パスワード失念の懸念はないが、漏洩リスクは同じ

□券面認証(セキュリティコード)
・注文者がカード会員本人かまでは確認できない
・番号とともに「セキュリティコード」が窃取されたら終わり

□属性・行動分析
・デバイス情報、過去の取引情報等に基づくリスク評価(スコアリング)
・小規模加盟店が独自でモデル構築は困難
 →サードパーティのサービス利用に期待

□配送先情報
・取引成立後でも配送を止めて被害防止
・大手加盟店は独自のデータベースを運用
・カード会社複数社での共同運用サービスあり
・過去のブラック情報を提供するサービスも存在
・しかし配送を伴わない取引には利用できない
・ブラック判定されていない住所への配送は止められない

□その他
・カード利用時にイシュアーから利用確認メール
・メール等受信に関するカード会員の同意が必要
・メールアドレス管理等、イシュアーの負担

以上、不正購入対策には(これ一つでOK!というものはないですが)いろいろな方法があるようです。外部サービスを使うにしても、結局は、ショップ側での不正判断ノウハウの蓄積や体制構築がキーになる感じですね。ご自身のサイトに課題が残っているか、更にできることがあるかについて、「非通過」の件と併せ、ご契約のPSP、カートさんにご相談いただくと良いのではないかと思います。
Posted by 沢田 登志子 at 15:54 | 沢田登志子 | この記事のURL | トラックバック(0)
来年3月までにカード番号「非通過」に! [2017年05月16日(Tue)]
昨年から何回か続けて(と言っても数ヶ月おきですが)割賦販売法改正について書いてきました。5月10日、経済産業省から、省令改正の方向性に関する報告書が公表されましたので、EC事業者に関わる部分(セキュリティ対策義務)について改めてご紹介します。

改正法でEC加盟店に新たに課せられた義務は、

1)クレジットカード番号等の適切な管理(改正法第35条の16)
2)クレジットカード番号等の不正な利用を防止するために必要な措置(改正法第35条の17の15)

の2点です。

今回の報告書では省令の文言までは提案されませんでしたが、これらの義務を履行するにあたっての実務上の指針として、クレジット取引セキュリティ協議会による「クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画-2017-」が指定されています。加盟店は、この「実行計画」に沿った措置(or同等以上の措置)を講ずることを求められます。それをチェックするのはカード会社(アクワイアラー)の役割です。

「実行計画」では、1)クレジットカード番号等の適切な管理について次のように定めています(EC加盟店に関する部分のみ抜粋)。

2018年3月末までに、特にカード情報の漏えいの頻度が高い非対面(EC)加盟店については原則として非保持化(保持する場合はPCI DSS 準拠)を推進するとともに、カード会社(イシュアー・アクワイアラー)及び PSP については PCI DSS準拠を求めることとする。(略)

実行計画で示す加盟店における「非保持化」とは、カード情報を保存する場合、それらの情報は紙のレポートやクレジット取引にかかる紙伝票のみであり、電磁的に送受信しないこと、すなわち「自社で保有する機器・ネットワークにおいて「カード情報」を『保存』、『処理』、『通過』しないこと」をいう。(略)


「実行計画」は法令ではなく、あくまで民間事業者による「計画」という位置付けです。しかし割賦販売法で直接規制を受けるアクワイアラーは、加盟店への指導をきっちりやらないと加盟店調査義務違反を問われます。なのでEC加盟店は「非保持もしくはPCI DSS準拠」を実現しないとアクワイアラーから指導を受け、最終的には加盟店契約を切られる可能性があるのです。

2017版では、「非保持」の定義も明確になりました。「通過型」は非保持とは認められず、ログが残っていれば消去も求められます。期限は来年3月に迫っているので、是非早めに、ご契約のカートさんやPSP(決済代行会社)さん等にご相談いただくことをお薦めします。

EC加盟店におけるカード情報の非保持化を推進するため、PCIDSS準拠済みのPSPが提供するカード情報の非通過型(「リダイレクト(リンク)型」又は「Java Script を使用した非通過型」)の決済システムの導入を促進することとする。なお、非通過型を導入した EC加盟店において、業務の都合上、PSPより還元されたカード情報を保持する場合にはPCI DSS準拠が必要である。(略)

すでに通過型を導入しているEC加盟店は、自社サイトにカード情報を含む決済情報等のログが蓄積される等のシステム的課題を認知できていないケースもあることから、カード会社(アクワイアラー)及びPSPは、これら加盟店に対する注意喚起を行い、早急にシステムログ等の消去を求める。さらに、カード情報を保持しない非通過型システムへの移行を強く推奨する。なお、EC加盟店において、通過型か非通過型の認識がなく、カード情報の漏えい事故が発覚してから、通過型を採用していたことを認識したとする事例もあり、注意が必要である。
その上で、カード情報を保持する場合はPCI DSS準拠を求める。


2)クレジットカード番号等の不正な利用を防止するために必要な措置 については次回書きます。
Posted by 沢田 登志子 at 14:50 | 沢田登志子 | この記事のURL | トラックバック(0)
カード加盟店の不正利用防止義務 [2017年01月12日(Thu)]
2017年になりました。今年もよろしくお願いいたします。早速ですが、改正割賦販売法の続きです。前回は「クレジットカード番号等の「適切な管理」義務のことを書きました。今回は、「不正な利用の防止」義務についてです。偽造カードや不正に入手したカード番号などが通ってしまわないように、加盟店の側でちゃんと確認してね、という話ですね。

第35条の17の15(クレジットカード番号等の不正な利用の防止)
クレジットカード等購入あっせん関係販売業者又はクレジットカード等購入あっせん関係役務提供事業者は、経済産業省令で定める基準に従い、利用者によるクレジットカード番号等の不正な利用を防止するために必要な措置を講じなければならない。


珍しくシンプルな条文です。「クレジットカード等購入あっせん関係販売業者」「クレジットカード等購入あっせん関係役務提供事業者」は加盟店のことです。「必要な措置」は省令に委ねられているので、これだけでは、何をしなくてはいけないのかはわかりません。

と言っても対面決済の場合は、偽造カードを通さない最も有効な手段は「IC化対応」という共通認識ができているので、リアル加盟店に対しては、「決済端末のIC対応」がガンガン(今まで以上に)求められるのだと思います。暗証番号を入れる専用端末や最近のスマホ(タブレット)決済は既にIC化されているので、中小加盟店は対応が進んでいると言えそうです。

一方で、独自のPOS端末を使っている流通大手などにとっては、端末置き換えのコストが大変という話を聞きます。しかしIC化は消費者にとっても重要なので、頑張って進めていただきたいです。店員さんがカードを持って奥に引っ込んでしまうという対応は、信頼に足る日本の店舗だからこそ成り立っていましたが、スキミングを恐れる外国人観光客は許してくれないでしょう。そうでなくても、今どき暗証番号でもタブレットでもなく「紙にサイン」を求められるとガックリします。

難しいのはオンライン決済の場合です。代表的な不正利用対策は「3Dセキュア」ですが、カゴ落ちを懸念するEC加盟店の抵抗は強いですね。何が何でも3Dセキュアを入れなきゃだめ、という規定の仕方は省令でもされない見込みと聞いていますが、さすがに「カード番号と有効期限だけ」で決済できるECサイトは、アクワイヤラーの加盟店審査に引っかかってしまうかも知れません。

EC加盟店の側には、注文に使われたカードが不正かどうかは(カード番号を見ない)自分たちにはわかりようがない、それを見分けるのはカード会社の仕事だ、という感覚がなんとなくあります。しかしカード会社がオーソリゼーションで確認するのは、「そのカードが有効かどうか」と「当該取引が利用限度額内か」だけであって、「カードやカード番号を提示した人が正しい持ち主かどうか」を確認するのは加盟店の役割である、とカード会社は考えています。それは加盟店契約にもしっかり記載されているのですが、契約時に加盟店がそのような説明を受けることはあまりないらしく、誤解しているEC加盟店は未だに多いように思います。

加盟店が、「カード(番号)を提示した人がそのカードの正しい持ち主かどうか」の確認を怠った結果どうなるかというと、カード会員(本当の持ち主)が「不正利用だ!」とイシュアに申し立てた場合は会員への請求は止まり、加盟店にアクワイヤラーから支払われた立替分の代金は取り上げられてしまいます。消費者相談業界で「チャージバック」と言えば、消費者の意に沿わない支払いに対してイシュアが相手方に返金要請してくれるありがたい仕組みですが、真面目なEC加盟店にとっては「チャージバック」はリスクそのものということですね。

今回の法改正で期待されている3Dセキュア等の不正利用防止措置は、加盟店にとってのリスク軽減策と考えられます。何故なら、加盟店が十分な本人確認をしている場合には、それでも起こってしまった不正利用のリスクは、カード会社側が負ってくれるからです(全てのケースに当てはまるかどうかはわかりません)。その一方で、EC加盟店は、しつこくパスワードなどを聞くことによって、せっかく買い物カゴに商品を入れてくれたお客様が最終決済まで行かずにサイトを離れてしまう(=カゴ落ち)という別のリスクを抱えます。

この2つのリスクのどちらを重視すべきかという議論が、私がお付き合いさせていただいているEC加盟店の間でもしばしば交わされています。議論の大勢は、「高額で換金性が高いなど不正利用者に狙われやすい商材(家電製品や宝飾品、デジタルコンテンツなど)を扱っている店舗は不正利用対策を優先した方が良いけれども、それ以外ではカゴ落ちリスクの方がずっと深刻。3Dセキュアはやめた方が良い。」という感じです。

カゴ落ちリスクという視点のほかにも、EC加盟店には、「できるだけストレスなく決済できるのがお客様にとってベスト」という考え方も強くあります。安全を保ちながら、消費者に負担をかけない(かつ消費者のプライバシーを侵害することもない)本人確認方法が開発されるまでは、アナログなものを含め、多様な対策の組み合わせで解決するしかないのかも知れません。

やるべきこと(対策の方向性)がある程度明確な漏えい防止措置に対し、不正利用対策は、これまでそれぞれの店舗のリスク判断に委ねられていました。これが今回の法改正でやや一方向に傾き、アクワイヤラーの加盟店管理に反映されることになると、実務にどのような影響があるのか、注意して見て行きたいと思います。
Posted by 沢田 登志子 at 15:24 | 沢田登志子 | この記事のURL | トラックバック(0)
カード加盟店のセキュリティ対策義務 [2016年12月28日(Wed)]
割賦販売法改正内容の続きです。今回は、これまで割販法の直接の規制対象ではなかったカード加盟店に対し、セキュリティ対策の義務が課されたことについて書きます。

まずは条文から。前回の記事にも同じ条文を貼り付けましたが、省略した部分もあるので再掲します。下線は私です(以下同じ)。余談ですが「第35条のナントカのカントカ」という条番号がたくさんあり過ぎて、探すのが大変です。かっこの中にかっこがあるのも辛いです。こういう文章と日常的に向き合っている法律家や役人を尊敬します。

第35条の16(クレジットカード番号等の適切な管理)
クレジットカード番号等取扱業者(次の各号のいずれかに該当する者をいう。以下同じ。)は、経済産業省令で定める基準に従い、その取り扱うクレジットカード番号等(包括信用購入あつせん業者又は二月払購入あつせんを業とする者(以下「クレジットカード等購入あつせん業者」という。)が、その業務上利用者に付与する第2条第3項第1号の番号、記号その他の符号をいう。以下同じ。)の漏えい、滅失又は毀損の防止その他のクレジットカード番号等の適切な管理のために必要な措置を講じなければならない


ややこしいところを除いて主語と述語だけにしてみると、「次の一から三のどれかに当たる人は、クレジットカード番号を適切に管理するために必要な措置を講じなければいけない」ということですね。現行法では、「クレジットカード等購入あつせん業者」(イシュア)だけがその義務を負っていましたが、範囲が広がり、一号から三号のどれかに当たる場合は「クレジットカード番号等取扱業者」という名前がつけられて、新たに義務が課された訳です。

「クレジットカード番号等」の定義も(今回の改正部分ではないですが)一応見ておきます。「イシュアが利用者に付与する番号、記号その他の符号」とありますが、「第2条第3項第1号の」とは何でしょうか。第2条第3項は「包括信用購入あつせん」の定義です。その中で、「カード等」の定義として、「それを提示し若しくは通知して、又はそれと引換えに、特定の販売業者から商品若しくは権利を購入し、又は特定の役務提供事業者から有償で役務の提供を受けることができるカードその他の物又は番号、記号その他の符号」と書かれています。(余談ですが、対面でカード本体を見せる場合とオンラインで番号を入力する場合をいっぺんに定義するのは大変ですね。)

「クレジットカード番号等」は、「イシュアが利用者に付与する、そういう役割の(それを示せば買い物ができる)番号など」と読めば良いのかなと思います。「カード等」には自社割賦用のカードも含まれますが、セキュリティ対策が要求されるのは「クレジットカード等」だけなのですね。「クレジットカード等」の「等」には有効期限や暗証番号が含まれるようです。

「適切な管理」とは「漏えいや滅失や毀損を防ぐ」ことと書かれています。そのために何が「必要な措置」かについては、省令で基準が決められます。

では、義務を課される「クレジットカード番号等取扱業者」とは誰でしょうか。第35条の16第1項は、このように続いています。

一 クレジットカード等購入あつせん業者

二 特定のクレジットカード等購入あつせん業者のために、利用者がカード等を提示し若しくは通知して、又はそれと引換えに特定の販売業者から商品若しくは権利を購入し、又は特定の役務提供事業者から役務の提供を受けるときは、自己の名をもって当該販売業者又は当該役務提供事業者に包括信用購入あつせん又は二月払購入あつせん(略)に係る購入の方法により購入された商品若しくは権利の代金又は受領される役務の対価に相当する額の交付(当該販売業者又は当該役務提供事業者以外の者を通じた当該販売業者又は当該役務提供事業者への交付を含む。)をすることを業とする者(次条及び第35条の18第1項において「立替払取次業者」という。)

三 クレジットカード等購入あつせんに係る販売の方法により商品若しくは権利を販売する販売業者(以下「クレジットカード等購入あつせん関係販売業者」という。)又はクレジットカード等購入あつせんに係る提供の方法により役務を提供する役務提供事業者(以下「クレジットカード等購入あつせん関係役務提供事業者」という。)

一号は、イシュアのことです。前回も書きましたが、マンスリークリアも割賦販売も含めてクレジットカードを発行する事業者(イシュア)を総称して「クレジットカード等購入あつせん業者」と言っています。オンアス取引の場合は、アクワイヤラーも兼ねています。

二号は、オフアス取引の場合のアクワイヤラーのことです。

三号がいわゆる加盟店です。「クレジット決済で商品やサービスを提供する事業者」が、新たに「クレジットカード等購入あつせん関係販売業者」「クレジットカード等購入あつせん関係役務提供事業者」と名付けられました。現行法では、「クレジットカード番号等保有業者」の一つとしてカード会社の「指導を受ける」立場でしたが、今回の改正で、直接の規制対象となったのです。

この3種類の事業者(クレジットカード番号等取扱業者)には、もう一つ、「委託先に対する指導義務」が課されました。加盟店の委託先として真っ先に思い浮かぶのはPSP(決済代行会社)ですが、これに限らず、顧客のクレジットカード番号を取り扱う全ての事業者(例えば不正検知サービスを提供する事業者なども含まれる?)と考えて良いように思います。

第35条の16(クレジットカード番号等の適切な管理)
3 クレジットカード番号等取扱業者は、クレジットカード番号等取扱受託業者(当該クレジットカード番号等取扱業者からクレジットカード番号等の取扱いの全部若しくは一部の委託を受けた第三者又は当該第三者から委託(二以上の段階にわたる委託を含む。)を受けた者をいう。以下同じ。)の取り扱うクレジットカード番号等の適切な管理が図られるよう、経済産業省令で定める基準に従い、クレジットカード番号等取扱受託業者に対する必要な指導その他の措置を講じなければならない。


これら加盟店に新たに課された義務がきちんと果たされているかどうかについては、基本的には、アクワイヤラー/登録PSPが、加盟店調査の一環としてチェックすることになります。

第35条の17の8(クレジットカード番号等取扱契約締結事業者の調査等)
クレジットカード番号等取扱契約締結事業者は、クレジットカード番号等取扱契約を締結しようとする場合には、その契約の締結に先立つて、経済産業省令で定めるところにより、販売業者又は役務提供事業者によるクレジットカード等の適切な管理及び利用者によるクレジットカード番号等の不正な利用の防止を図るため、クレジットカード番号等取扱契約を締結しようとする販売業者又は役務提供事業者に関し、クレジットカード等の適切な管理又は利用者によるクレジットカード番号等の不正な利用の防止(以下「クレジットカード等の適切な管理」等という。)に支障を及ぼすおそれの有無に関する事項であって経済産業省令で定める事項を調査しなければならない。

2 クレジットカード番号等取扱契約締結事業者は、前項の規定による調査その他の方法により知つた事項からみて、販売業者又は役務提供事業者が講じようとする第35条の16第1項若しくは第3項又は第35条の17の15に規定する措置がそれぞれ第35条の16第1項若しくは第3項又は第35条の17の15に規定する基準に適合せず、又は適合しないおそれがあると認めるときは、クレジットカード番号等取扱契約を締結してはならない

3 クレジットカード番号等取扱契約締結事業者は、そのクレジットカード番号等取扱契約を締結したクレジットカード等購入あつせん関係販売業者又はクレジットカード等購入あつせん関係役務提供事業者について、定期的に、又は必要に応じて、経済産業省令で定めるところにより、第1項に規定する事項を調査しなければならない。

4 クレジットカード番号等取扱契約締結事業者は、前項の規定による調査その他の方法により知つた事項からみて、クレジットカード等購入あつせん関係販売業者又はクレジットカード等購入あつせん関係役務提供事業者が講ずる第35条の16第1項若しくは第3項又は第35条の17の15に規定する措置がそれぞれ第35条の16第1項若しくは第3項又は第35条の17の15に規定する基準に適合せず、又は適合しないおそれがあると認めるときは、クレジットカード番号等取扱契約の解除その他の経済産業省令で定める措置を講じなければならない。

5 クレジットカード番号等取扱契約締結事業者は、経済産業省令で定めるところにより、第1項及び第3項の規定による調査に関する記録を作成し、これを保存しなければならない。


第1項は、いわゆる「初期(契約時)審査」です。アクワイヤラー/登録PSPは、加盟店契約を締結する前に、その加盟店がやろうとしているセキュリティ対策(漏えい防止措置や不正使用防止措置)が基準に合っているかどうか調査しなければならないのです。そして第2項で、「調査の結果がダメだったら加盟店契約を締結してはならない」とされています。

店舗としては、新たにカード決済を導入したくても、セキュリティ対応が不十分とみなされたら、加盟店契約ができないことになります。

のみならず、第3項では、既に加盟店契約をしている店舗についても、アクワイヤラー/登録PSPが「定期的に、又は必要に応じて」調査をすること=いわゆる「途上審査」も義務とされ、セキュリティ対応が不十分とみなされた加盟店は、最悪の場合、加盟店契約を解除されてしまう(それまでできていたカード決済ができなくなる)ことになりました。

さらに今回の改正では、加盟店(及びその委託先)に対しても、経済産業省が立入検査できると規定されました。

第41条(立入検査)
3 経済産業大臣は、この法律の施行に必要な限度において、その職員に、クレジットカード番号等取扱業者又はクレジットカード番号等取扱受託業者の営業所又は事務所に立ち入り、帳簿、書類その他の物件の検査(クレジットカード番号等の適切な管理等の状況に係る者に限る。)をさせることができる。


これはよっぽどの事態ですね。通常は、アクワイヤラー/登録PSPの加盟店管理に委ねるのだと思いますが、加盟店にとっては、いよいよ、セキュリティ対策を整えないとまずい状況になってきたと言えそうです。
Posted by 沢田 登志子 at 09:49 | 沢田登志子 | この記事のURL | トラックバック(0)
割賦販売法改正案が成立しました [2016年12月16日(Fri)]
今年5月にご紹介したクレジットカード加盟店へのセキュリティ対策義務付け(他)について、12月2日、改正割賦販売法が成立しました。新旧対照表などはこちらに。

基本的には経産省産業構造審議会割賦販売小委員会の報告書(2015年7月版2016年6月追補版)に沿ったものですが、出来上がった条文にはかなりの「工夫」が凝らされているので、正直言って、解読がとても難しいです(逐条解説に期待したいと思います)。先日、関係事業者有志で勉強会を開催し、経産省の担当課長においでいただいて丁寧に解説していただきましたので、私の理解できた範囲にとどまってしまいますが、主な内容をご報告いたします。(網羅的ではありません。)

今回の改正で新たに導入されたのは、ざっくりいうと次の3点です。
(1) アクワイヤラーの登録制+加盟店調査義務
(2) 決済代行会社への任意登録制+加盟店調査義務
(3) 加盟店のセキュリティ対策・不正使用対策義務

(1)は、イシュア(カード発行会社)とアクワイヤラー(加盟店契約会社)の機能が分化してきた実態に合わせ、これまでイシュアのみであった登録義務をアクワイヤラーにも課して、加盟店調査を強化してもらおうという趣旨です。

国内のカード会社の多くはカード発行業務と加盟店契約業務を両方やっているので、これまではイシュアのみを対象とした規制でも(理屈はともかく)実質的にはあまり問題がなかったのですが、アクワイヤリング専業の会社や、海外のアクワイヤラーが国内の加盟店と契約するケースが出てきて、やや実態に合わなくなってきたということだと思います。

更に、アクワイヤラーと加盟店の間に入り、加盟店契約の取りまとめをしたり、決済情報の仲介をしたりする決済代行会社(PSP;Payment Service Provider)の存在感が高まっていることに着目し、ここに任意の登録制を導入して、加盟店調査の役割を一部担ってもらおうというのが(2)です。

この(1)と(2)は、新設された次の条項に規定されています。(下線は筆者。以下同じ。)

第35条の17の2(クレジットカード番号等取扱契約締結事業者の登録)
次の各号のいずれかに該当する者は、経済産業省に備えるクレジットカード番号等取扱契約締結事業者登録簿に登録を受けなければならない。

一 クレジットカード等購入あつせんに係る販売又は提供の方法により商品若しくは権利を販売し、又は役務を提供しようとする販売業者又は役務提供事業者に対して、自ら利用者に付与するクレジットカード番号等を取り扱うことを認める契約を当該販売業者又は当該役務提供事業者との間で締結することを業とするクレジットカード等購入あっせん業者

二 特定のクレジットカード等購入あつせん業者のために、クレジットカード等購入あっせんに係る販売又は提供の方法により商品若しくは権利を販売し、又は役務を提供しようとする販売業者又は役務提供事業者に対して、当該クレジットカード等購入あっせん業者が利用者に付与するクレジットカード番号等を取り扱うことを認める契約を当該販売業者又は当該役務提供事業者との間で締結することを業とする者


一号は、オンアス取引の場合のイシュア兼アクワイヤラーのことです。「加盟店に対して、自分が発行するクレジットカード番号を取り扱ってもいいよと言える(それを仕事にしている)イシュア」ということですね。「クレジットカード等購入あつせん業者」は、第35条の16第1項で「包括信用購入あつせん業者又は二月払購入あつせんを業とする者」と定義されています。マンスリークリアも割賦販売も含めたイシュアの総称です。

二号は、オフアスの場合のアクワイヤラーをまずは念頭に置いています。「特定のクレジットカード等購入あつせん業者のために」つまり誰か自分とは別のイシュアのために、「加盟店に対して、そのイシュアが発行するクレジットカード番号を取り扱ってもいいよと言える(それを仕事にしている)者」ということで、「加盟店契約をする会社」のことなのですが、よく読むと、以下の「立替払取次業者」とは定義が異なっています。


第35条の16(クレジットカード番号等の適切な管理)
クレジットカード番号等取扱業者(略)は、経済産業省令で定める基準に従い、その取り扱うクレジットカード番号等(略)の漏えい、滅失又は毀損の防止その他のクレジットカード番号等の適切な管理のために必要な措置を講じなければならない。

一 クレジットカード等購入あつせん業者
二 特定のクレジットカード等購入あつせん業者のために、利用者がカード等を提示し若しくは通知して、又はそれと引換えに特定の販売業者から商品若しくは権利を購入し、又は特定の役務提供事業者から役務の提供を受けるときは、自己の名をもって当該販売業者又は当該役務提供事業者に包括信用購入あつせん又は二月払購入あつせん(次号及び第35条の17の2において「クレジットカード等購入あつせん」という。)に係る購入の方法により購入された商品若しくは権利の代金又は受領される役務の対価に相当する額の交付(当該販売業者又は当該役務提供事業者以外の者を通じた当該販売業者又は当該役務提供事業者への交付を含む。)をすることを業とする者(次条及び第35条の18第1項において「立替払取次業者」という。)
(三 省略)

どちらもアクワイヤラーのこと、と言っても間違いではなさそうですが、「立替払取次業者」は、消費者がカードで買い物をした時に、その代金を加盟店に立替払いする」という機能に着目した定義ですね。これができるのは、いわゆるカード会社です。オフアス取引では、アクワイヤラーの立場のカード会社は、VISAやMastercardなど国際ブランドとの契約に基づき、加盟店に立替払いした金額をイシュアに請求し、イシュアがカード会員(消費者)に請求します。第35条の16は「カード番号の適切な管理義務」を定めたものなので、カード番号の情報が通過する「立替払取次業者」を規制対象としている訳です。

これに対し第35条の17の2の二号は、「立替払先となる加盟店を選んで契約する」という機能を表現しています。「加盟店を選んで契約する」という業務がすなわちアクワイヤリングですが、これを行うのは、自己名義で立替払いをするいわゆるカード会社に限らず、PSPが、カード会社から「加盟店を選んで契約する」業務を委任されていることもあるでしょう。そういうPSPであれば、アクワイヤラーと同じく、登録を受ける義務がありますよ、というのが第35条の17の2の二号の規定です。

では、「加盟店を選んで契約する」業務を行ってはいるが、最終判断権限がアクワイヤラーにある場合は?この場合のPSPには、登録を受ける義務はありません。しかし(条文には明記されていませんが)任意で登録を受けることはできるそうです。経産省としては、Fintech企業を含め、できるだけ多くのPSPに登録を受けていただき、ガイドラインに従った加盟店調査を行なって欲しいとのことでした。

(追記)上記記載がやや不正確だったので、訂正します。
PSPが最終判断権限を持たない場合も、将来、権限を持つ場合に備えて任意で登録を受けることは可能ですが、法律で要求される加盟店調査義務は、最終判断権限を持っていないと完全には履行できないので、任意で登録を受けるPSPには義務はかからないとのことです。この場合は、アクワイヤラーに義務が残る、つまり任意に登録を受けたPSPと契約していたとしても、登録義務と加盟店調査義務はアクワイヤラーが負うことになるそうです。
(経産省からご指摘をいただきました。ありがとうございました!)


今回改正で注目すべき点がもう一つあります。第35条の17の2の登録を受ける義務は、海外アクワイヤラーにも適用されるという点です。

第35条の17の3(登録の申請)
前条の登録を受けようとする者は、次の事項を記載した申請書を経済産業大臣に提出しなければならない。
一 名称
二 本店その他の営業所(外国法人にあっては、本店及び国内における主たる営業所その他の営業所)の名称及び所在地
三 役員の氏名
(第2項、第3項省略)


とは言っても、日本国内に拠点がない場合は登録を受けられません。

第35条の17の5(登録の拒否)
経済産業大臣は、第35条の17の3第1項の申請書を提出した者が次の各号のいずれかに該当するとき、又は当該申請書若しくはその付属書類のうちに重要な事項について虚偽の記載があり、若しくは重要な事実の記載が欠けているときは、その登録を拒否しなければならない。
一 法人でない者
二 外国法人である場合には、国内に営業所を有しない者
(以下省略)


つまり、海外アクワイヤラーが日本の加盟店と契約する場合、一義的には日本国内に営業所を設けて自身で登録を受ける必要がありますが、それを行わない場合は、日本に拠点を持つPSPに加盟店調査業務を全面的に委任した上で、そのPSPに登録を受けさせないと適法にならない、ということになります。

これはあくまでアクワイヤラー/PSPが「日本の加盟店と契約する場合」であって、「日本の消費者と契約する加盟店と契約する場合」ではないので、海外所在の加盟店が(例えばインターネット経由で)日本人相手によろしくない商売をしていたとしても、アクワイヤラー、PSP共に海外であった場合には、割賦販売法では規制対象外です。

以上、まずはアクワイヤラー(&PSP)の登録義務についてご紹介しました。長くなってしまったので、(3)のセキュリティ対策については次回書きます。
Posted by 沢田 登志子 at 10:26 | 沢田登志子 | この記事のURL | トラックバック(0)
どうしたら匿名加工情報でなくなるのか [2016年08月30日(Tue)]
個人情報保護法施行令改正案と施行規則案のパブコメが行われています。本件、私自身は、専門家の方々が熱く議論しているのを横目で見ているだけで、ぼやっとしか追いつけていなかったのですが、改めて条文を見たところ、相談事例をリストの形で紹介することが匿名加工情報の第三者提供に当たってしまうのは困るなー。と思い至り、今更ですが、相談機関であるECネットワークの立場で、以下の意見を提出してみました。

「どこまで丸めれば匿名加工情報ですらなくなるのか?」という問題意識です。定義に関わる話なので、本当は、施行規則ではなく、法案の段階でもっと言っておくべきだったのかも知れません。(国会審議その他で同様の内容が話題になったこともあると後で伺いました。)

下記意見では、現行法上何ら問題ない(キリッ)と言い切ってますが、書いているうちに、本当にその理解で正しかったのか不安になってきました。我々の相談データでは、元データと照合するキーは「案件番号」ですが、個別の事例の内容をもっと詳しく知りたい等の要望があった場合にすぐに元データに当たれるように、業界団体との閉じた情報交換などでは案件番号を消さないことがあります。公開資料の場合は仮番号に置き換えますが、その場合でも、対応表は大事に持っています。(もちろん元データに当たれるのは我々だけですが。)これは提供元にとっての容易照合性との関係で、ほんとは(個別同意を取らないと)イケなかったんでしたっけ・・・?ここにも書いたように、我々としては統計データと同じくらい罪のない情報という認識だったのですが。。

上記を含め、なんかまだいろいろ勘違いをしていそうな気がするので、遠慮なくご指摘をいただければ幸いです。>専門家のみなさま

ところで我々は民間なので個人情報保護法が適用されますが、相談データ共有の件は、実は各自治体消費生活センターが持っているデータ及びそれを集約したPIO-NETが本丸ではないかと思っています。苦情実績が消費者関連法規制強化の根拠(立法事実)とされる以上、肝心のデータをオープンにして精査する必要があると思うのです。そうなると行政機関等個人情報保護法の問題になってくる訳で・・・そちらも勉強しないと。

プライバシーへの影響は各人が常に気にしつつ、きちんとルールを守って安心して有効な利活用ができるように、プロでなければ解釈できないマニアックな法文や曖昧な規定ではなく、明確で誰でもわかりやすいルールにしてもらいたいものです。


「個人情報の保護に関する法律施行規則(案)」に対する意見(2016.8.30提出)

第19条(匿名加工情報の作成の方法に関する基準)について

施行規則においては、「どのように加工すれば匿名加工情報となるか」の基準に加え、その究極の形として、「どこまで加工すれば匿名加工情報ですらなくなるか」について基準が示されるのではないかと期待していた。しかし今回提示された案では、加工元のデータベースが個人情報データベースである限り、どれだけ丸めても匿名加工情報として法36条から39条の義務がかかることとなり、制度の趣旨に照らして過剰な規制であると考える。

具体的な懸念事項は以下のとおり。

私どもECネットワークでは、インターネット取引に関連するトラブルについてオンラインで相談を受けている。相談事例のデータベースは、要保護性が非常に高い個人情報データベースであると認識している。たとえ相談者の氏名やメールアドレスをデータベースから削除したとしても、相談者自身がフォームに入力する相談内容は、当然ながら相談者のプライバシーに深く関わるものである。施行規則案第19条第3項にいう「特異な記述」が含まれる場合には、相談内容のみで特定の個人を識別できる可能性もある。したがって組織内部においては、統計データ等を作成するために氏名やメールアドレスを削除したデータベースも、匿名加工情報データベースではなく、あくまでも個人情報データベースとして管理する予定である。

一方、相談事例の内容や傾向を関係者と共有することは、消費者啓発や事業者への注意喚起に役立つ。トラブルの発生を防いだり救済を容易にしたりするための制度的対応の要否や方向性を検討するにあたり、有益な材料の一つともなり得る。これまで、講演や研修、研究会等で当方に寄せられた相談事例の紹介を求められた時は、積極的に情報を提供するよう心がけてきた。

このような場面では、トラブルのパターンから一般化できる論点を探ることが目的なので、特定の個人を識別できる情報はもちろん、事例ごとの特殊な事情は不要である。相談内容は、趣旨を損なわない範囲で相当程度要約して「相談概要」とする。これ以外に項目として残すのは、「発生年月」程度である。

このように加工して第三者に提供するデータは、特定個人の識別性は限りなく低く、個々の相談者にとってのプライバシーリスクはほとんどないと考えている。統計データではないが、もはや個人データでもないので、現行法の下では、第三者提供にあたり特段の制約はないと理解していた。しかし念のため、相談機関としては、利用目的の1つとして、「提供いただいた情報は、特定の個人を識別できる情報を除いて、相談事例として利用し、消費者が同様のトラブルにあうことを防ぐための情報提供等に活用させていただきます。」といった規定を置いている。

この運用に特段の問題があるとは思えないが、このようなデータについても、改正法第36条第4項の「加工後の情報に含まれる個人に関する情報の項目及びその提供の方法についてあらかじめ公表する義務」が等しくかかってくるとすれば、相談機関にとっては大きな負担増となる。相談者に無用の不安を与えることを危惧し、個別事例ではなく、統計データのみの提供に止める方向に動くのではないかと懸念される。

現在問題なく行われている利活用が後退することなく、示唆に富む相談事例を安心して社会の共通財産とできるよう、施行規則において、「特定個人の識別性が十分に低減されて匿名加工情報ではなくなる」基準が示されることを強く希望する。
Posted by 沢田 登志子 at 12:43 | 沢田登志子 | この記事のURL | トラックバック(0)
オンラインで紛争解決(Online Dispute Resolution) [2016年08月03日(Wed)]
先月(2016年7月)開催された国連国際商取引法委員会(UNCITRAL)総会で、「国境を超えたEコマースのためのオンライン紛争解決」に関する文書が採択されました。テクニカル・ノートという位置付けで、少額の越境紛争に対応するODRが満たすべき諸原則等について述べられています。

2010年に設置されたWorking Group III(ODR作業部会)で検討されていたものです。諸原則の主な内容は早い段階で合意されていたようですが、最終化までに足掛け6年もかかった背景には、例によって米国と欧州の法制度の違い=消費者との取引において仲裁の事前合意を認めるか否か=がありました。事前の仲裁合意が有効であれば、紛争が起きても裁判に訴えることはできないので、米国事業者は、クラス・アクションを避けるためにもできるだけ仲裁に持っていきたい。米国には、それを妨げる法律はありません。一方、欧州は、消費者の裁判を受ける権利を奪う仲裁合意は認めない、という法制です。(日本の仲裁法も同様で、附則第3条に消費者は仲裁合意を解除できると規定されています。消費者契約法見直しの議論でも、不当条項リストに仲裁条項を挙げる提案がしばしば出されています。)

ODR作業部会では、双方の法制と矛盾しない統一ルールとすべく、あれこれ模索を重ねてきましたがいずれも実らず、最終的には、EUが、ADR指令とODR規則を採択して域内の権限を集約したことを背景に強硬姿勢を強め、消費者仲裁を含むグローバルな統一ルールをUNCITRALで合意することは断念されました。・・・と、自分で見てきたように書いていますが、この間の事情は全て、本作業部会に日本代表として参加し、両陣営の調整役としても活躍された立教大学の早川教授からお聞きしたものです。今年1月にも、NPO法人消費者ネットジャパン(じゃこネット)のセミナーで講演していただきましたので、こちらも是非ご参照ください。

仲裁のようなカッチリした手続きは(時には裁判以上に)コストもかかり、Eコマースの紛争には馴染まないと個人的には思っています。なので上記のような米欧の対立は、理念としてはわかりますが、なんだか不毛だなーと感じていました。それよりも、実質的に役に立つ&外国語の不得意な日本人でも使いやすいODRを日本でも実現させる契機として、国際ルール化を待っていたところがあります。拘束力があろうとなかろうと、諸原則が明確になったのは良かったです。

かれこれ15年ほどEコマースのトラブルに関わってきましたが、主張が真っ向から対立しているとか、感情的にこじれきっているなど、当事者間の交渉ではどうしても解決できず、ここから先は利害関係のない第三者の関与が必要・・・と思う場面がたびたびありました。「中立」や「公正」という言葉は定義が難しいので使いたくないのですが、最低限、「どっちの味方でもない」という第三者の判断が欲しい場合があります。相談を受ける立場は、相談者の味方になって助言をする(時には相談者の代理として交渉する)役割なので、もちろんその有効性は十分に認識するところですが、ADR/ODRでいう「第三者」とは異なるものと考えています。

しかし、「利害関係のない第三者」がボランティアで他人の紛争に関わってくれるとは考えにくく、そこには報酬が発生します。必要が生じた時に第三者にすぐに依頼できる体制の整備や、記録保存などの事務費用も必要です。つまりADR/ODRにもコストはかかる訳ですが、消費者の関わる少額紛争では、紛争当事者から高額の手数料を取ることはできず、「運営費用を誰が負担するか」が永遠の課題です。

国際消費者連盟(Consumers International)等の提言では、消費者救済に役立つADRは、消費者には負担を負わせず、かつ中立で、専門的で・・・といろいろ注文がついています。しかし、これを実現するには、公的資金をどーんとつぎ込むか、紛争解決の仕組みを持つことにメリットを感じる事業者が費用負担するしかありません。費用をできるだけ節減するためにも、オンラインでの手続きが必須です。将来的には、企業のカスタマーサポートで既に活用されているように、定型的な紛争には、第三者の役割の一部をAIで代替できる可能性も高まるでしょう。

そんなことを検討したく、昨年から今年にかけ、前述のNPO(じゃこネット)でODRをテーマにした研究会を実施し、主査を務めました。と言っても初年度は、これまでどのような議論や取り組みがされてきたかを整理するにとどまっています。主に相談を受けてきた立場から、越境Eコマースだけでなく、シェアリングサービスなどC2C取引、オンラインゲーム、インバウンド等々、ここにODRがあったら良いのになー、という場面をあれこれ夢想していますが、それらはごく入り口の検討に過ぎず、これから本格的にみんなで考える場を設けませんか?という提案をするところで終わっています。(報告書は近々公開します。)

提案をしただけではなかなか動かないので、今年度も研究会は継続します。関係する少しでも多くの方に興味を持っていただけるよう、また続報を書こうと思います。
Posted by 沢田 登志子 at 12:45 | 沢田登志子 | この記事のURL | トラックバック(0)
スマホ決済は従来型のPOS端末よりも安全という話 [2016年07月04日(Mon)]
前回と前々回は、経済産業省で検討されている割賦販売法改正(セキュリティ対策強化)について書きました。少し違った角度ですが、似たようなテーマが6/30の消費者庁インターネット消費者取引連絡会でも取り上げられたので、簡単にご紹介します。

「オンライン決済、スマホ決済」がテーマです。市場規模、利用動向、消費者アンケート等の調査結果に始まり、業界団体と国際ブランドのガイドライン、セキュリティ対策や加盟店管理に関する個別事業者の取り組みまで、包括的に最新動向を把握するには大変ありがたい機会でした。連絡会そのものは非公開ですが、追って配布資料が(しばらくすると議事概要も)こちらで公開されますので、ご参照ください。

「スマホ決済」とは、タブレットやスマートフォンにカード情報を読み取る機能をプラスし、従来のレジ(POS端末)の代わりに決済端末として使用する方法、と考えればわかりやすいでしょうか。カードの現物を提示する前提なので、当然ながら対面取引で利用されます。レストランなど小規模の加盟店で導入が進んでいるようです。

消費者アンケートでは、お店の端末に自分のカード情報が残ってしまうのではないか?無線でデータを飛ばして大丈夫か?など、「スマホ決済はなんとなく心配」という声が結構あるようです。しかし、ガイドラインを遵守する事業者が提供するサービスであれば、現在、店頭で多く使用されている(IC化対応されていない&カード情報が保存されている)POS端末よりも、むしろ安全と言っても良いのだと思います。

業界ガイドラインとしては、日本クレジット協会が2012年に制定した「スマートフォン決済セキュリティガイドライン」があります。端末へのカード情報の保存の禁止や、伝送中の暗号化、他のアプリからのアクセス遮断等々、厳しい基準が定められています。協会加盟のアクワイヤラーは、スマホ決済事業者と契約する際には、このセキュリティガイドラインに従うよう求めているはずです。また、国際ブランドもモバイルPOS端末に関するルールを定めています。今回、連絡会でプレゼンされた2社は、いずれもPCIDSSに準拠した運用を行なっているとのことです。(ガイドラインを完全には遵守できていない事業者が全く存在しない訳ではないので、その点は注意が必要ですが。)

我々消費者は、セキュリティを気にする割には正確な知識を持っていないかも知れません。自らもいろいろ情報を収集するとともに、未だに磁気ストライプをシュッと読み込んで(あるいはカードを持って奥に引っ込んでしまい)、暗証番号ではなく伝票にサインを求めてくるお店に対しては、消費者の立場から、「利便性も悪いし何より心配だから、早くIC化対応してください」と声を上げていくことも必要と思います。
Posted by 沢田 登志子 at 17:48 | 沢田登志子 | この記事のURL | トラックバック(0)
クレジットカードのセキュリティ対策(続きです) [2016年06月01日(Wed)]
前回の記事に関し、ギョーカイの方々から様々なインプットをいただきました。ありがとうございます!5/26に、報告書(追補版)がほぼセットされました(最終版はまだ公表されていないようですが)。

その前にネットショップさん数社から、モール店舗ではなく本店(自社ドメイン店)の事情についてお話を聞いてみました(飲み会のついでにちょこっとでしたが)。不正使用対策については、3Dセキュアにしろセキュリティコードにしろ、やはり買い物かご(ショッピングカート)システムの仕様に左右されるとのことでした。

ショッピングカートASPでは、関連会社や提携先を通じて決済代行機能も提供していることが多いようで、怪しいカード情報を検知すると、加盟店にアラートを出してくれるそうです。なので、今回の対策強化は、モールと同様、カートASP事業者に協力を求める必要があると思います。逆に言えば、そこで十分な協力が得られるのであれば、モールやASPを利用する零細加盟店に対し、直接、義務を課す必要はないのかも知れません。扱っている商材が物流を伴わないデジタルコンテンツや換金性の高い商品の場合は狙われやすいですが、単価の安い加工食品等であれば、不正カードの被害に遭うリスクは限りなく低いということも、考えに入れておく必要がありそうです。(・・・ということを、小委員会で発言してきました。)

今度の法改正では、決済代行会社(PSP)の登録制が導入されます(任意ですが)。カートASPの提供する決済代行機能がその定義に当てはまるのかどうか、まだよくわかりません。カートASPに対し「協力を求める」のか「割販法の規制を直接適用する」のかは大きな違いです。ショップ側からは「カート=決済」と見えているように感じ受けますが、サービスとしてどの程度一体化しているのか、会社によって様々なのかも知れませんが、実情をお聞きしてみたいです。

一方、カード番号の管理については、私がお聞きした限りでは自社で「保有」している例はなく、ネットショップは「非保持」については全く違和感がないことを改めて確認できました。ただ、今年2月にクレジット取引セキュリティ対策協議会がまとめた「クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画」では、カード情報がショップのサーバーを通過しない「非通過型」だけを「非保持」と認め、「通過型」にはやはり漏洩のリスクがある、とされています。

「通過型」という形態が許容されてきたのも「カゴ落ち」への配慮とのことです。実態としては、まだ「通過型」のものが多いのでしょうか(この点をショップさんに確認するのを忘れました)。だとしたら、消費者の認識不足がセキュリティ対策の足を引っ張ることにならないよう、意識向上が欠かせないですね。小委員会では、その役割も政府に期待する声が上がっていましたが、むしろ消費者団体に頑張って欲しいところです。

零細ショップの事情はこのような感じですが、番号情報管理についても不正使用対策についても、一番問題になりそうなのは、ASPなどを使わずに自社で独自のEコマースシステムを作っている(かつ日々まとまった量のデータが行き交う)中堅どころではないかという気がします。
Posted by 沢田 登志子 at 10:46 | 沢田登志子 | この記事のURL | トラックバック(0)
クレジットカードのセキュリティ対策が義務化されます [2016年05月18日(Wed)]
クレジット取引等について規律する割賦販売法という法律があります。信販会社やクレジットカード会社が規制の対象なので、ネットショップとしては、特定商取引法とは異なり、自社でクレジット(分割払い)を提供しない限り、これまではあまり気にしなくて良い法律でした。

現在、経済産業省において、この割販法を改正する検討が進んでいます。2015年7月に公表された報告書では、加盟店契約をするカード会社や決済代行会社に登録制を導入すると記載され、法改正が決まっていますが、今年はそれに加え、「クレジットカードのセキュリティ対策を法的義務とする」検討が行われています。

クレジットカードのセキュリティに責任を有するのは、カード会社や決済代行会社ばかりではありません。今般の義務づけは、カード情報を扱う(カード加盟店となる)すべての事業者が対象です。ネットショップを運営する皆さんも、今後は十分に意識していただく必要があるのです。

ここでいうクレジットカードのセキュリティ対策とは何か。2つあります。

1つは言うまでもなく「安全管理措置」。顧客のカード番号を自社で保有している場合は、外部からの攻撃等によって番号情報を漏洩させないための技術的安全管理措置や、従業者の監督などの組織的安全管理措置を採ることが義務付けられます。繰り返される(加盟店からの)大規模な情報漏洩事件を受け、個人情報保護法とは別に、「クレジット取引の健全な発達」を目的の一つとする割販法としても、対応する必要に迫られたものです。(クレジットカード番号は、単体では個人情報に該当しないというのがクレジット業界の理解(主張)です。)

現行の割販法にも全く規定がない訳ではなく、カード会社に対して、「加盟店等に対する必要な指導その他の措置を講じること」が義務付けられています(法第35条の16第4項)。今回は、カード会社を通じた間接的な規制ではなく、加盟店等(現行法では「クレジット番号等保有業者」)に対して直接規制をかける方向で改正がされるのです。5/26開催の産業構造審議会商務流通情報分科会割賦販売小委員会において、基本的考え方が取りまとめられる予定です。

個々の加盟店、とりわけ中規模のネットショップなどに対し、どの程度の義務が課されるか、罰則はどうなるのか等については、この報告書で詳細が定められる訳ではなく、今後、経産省内で検討されることになります。ただ、大きな方向性として、特定の技術や手法(例えばPCIDSS)の採用を一律に要求するのではなく、「各事業者におけるリスクに応じて」求められる措置が変わってくる、という考え方が採られています。自力で安全に管理することが難しい中小零細のネットショップにとっては、「カード番号を一切持たない」というのが唯一最良の対応と言えると思います。

セキュリティ対策のもう1つの柱は、「不正使用防止策」です。サーバへの攻撃がどんどん先鋭化している現在、情報漏洩を完全に防止するのは不可能としても、漏洩したカード情報が不正に使用されようとする場面で対策が採られていれば、リスクが顕在化するのを避けられるという考え方ですね。購入者が対面でカードを提示するリアル店舗においては、決済端末をIC化対応することにより、偽造カードを検知し、不正使用による被害を避けることができます。カード自体のIC化はかなり進んだ(現在7割程度)そうですが、加盟店側の端末の対応が他国に比べて大幅に遅れているので、世界中の偽造カードが日本に来て暴れまくることになるのではないかと恐れられています。

では、オンラインでのカード決済はどうか。現状、不正なカード番号がオーソリを通り、商品発送(サービス提供)後にチャージバックされる、いわゆる「なりすまし」リスクは、3Dセキュアを導入していない限り、カード会社(アクワイヤラー)ではなく加盟店が負っているとお聞きしています。なので加盟店側としては、セキュリティコードを入力させたりブラック情報を共有したり、行動パターン分析から注文主に電話するといった地道な対応まで含め、不正使用の被害に遭わないよう様々な工夫を行っていると思います。今回の改正では、その「工夫」の部分を義務化することが検討されているのです。

と言っても、こちらも例えば「3Dセキュアを義務づける」と言った形ではなく、「各事業者におけるリスクに応じて」措置を求めるという考え方を採るので、個々のショップが具体的に何を(どの程度)しなければならないのか、現段階では想像がつきません。何かしなければならないのは、ショップではなく、決済の仕組みを提供する、モールや決済代行会社、ショッピングカートASPなのかもしれません。

セキュリティは本当に大事なことで、普段、消費者の自己責任とすべきことを事業者に転嫁するような規制には抵抗している私も、本件、特に番号情報の安全管理に関しては、オンライン取引全体の崩壊を避けるために、規制やむなしと思っています。本人確認の強化も基本的には賛成です。中小企業への配慮にも言及されており、その点は安心しているのですが、ただ、割販法で加盟店を直接縛るのは初めてのことなので、規制の客体となるネットショップに隅々までちゃんと理解されて混乱なく目的が実現されるのか?という点に、少し不安を感じています(杞憂かもしれませんが)。本件の検討の場には、ネットショップの実務を熟知している人は参加していないので、規制が導入された際、現場にどのような影響が出てくるのか、私を含め、誰も想像しきれていないのです。規制の効果という観点では、技術的な意味でのセキュリティ専門家の視点も十分ではないように思います。

そこで、特に加盟店の立場の方々にこの話を知っていただき、予想される(加盟店にとっての)マイナス面やそれを最小化する方策についてインプットをいただきたく、私が把握する限りの内容をご紹介してみました。十分に説明しきれていないところが多々ありますので、疑問点や感想その他何でも、メールやFBメッセージをいただけると嬉しいです。可能な限り、5/26の小委員会やその後の議論に反映させたいと思います。よろしくお願いいたします。
Posted by 沢田 登志子 at 21:12 | 沢田登志子 | この記事のURL | トラックバック(0)
| 次へ
プロフィール

ECネットワークさんの画像
リンク集
http://blog.canpan.info/ecnetwork/index1_0.rdf
http://blog.canpan.info/ecnetwork/index2_0.xml