• もっと見る

<< 2016年05月 >>
1 2 3 4 5 6 7
8 9 10 11 12 13 14
15 16 17 18 19 20 21
22 23 24 25 26 27 28
29 30 31        
最新記事
カテゴリアーカイブ
月別アーカイブ
最新コメント
沢田登志子
ネット初心者 (11/09) 久米 信行
ネット初心者 (11/07) ななな
広告メール規制省令案パブコメ開始 (09/06) kanata
久しぶりのオークション (07/27) 事務局G
確定申告はお早めに (03/12) しゅう
確定申告はお早めに (03/11) 国際担当T
鬼のパンツ・・・?! (01/30) Sora
鬼のパンツ・・・?! (01/26) 沢田登志子
EC業界2008年年頭所感 (01/25) 国際担当T
アックゼロヨンアワード (01/09)
最新トラックバック
クレジットカードのセキュリティ対策が義務化されます [2016年05月18日(Wed)]
クレジット取引等について規律する割賦販売法という法律があります。信販会社やクレジットカード会社が規制の対象なので、ネットショップとしては、特定商取引法とは異なり、自社でクレジット(分割払い)を提供しない限り、これまではあまり気にしなくて良い法律でした。

現在、経済産業省において、この割販法を改正する検討が進んでいます。2015年7月に公表された報告書では、加盟店契約をするカード会社や決済代行会社に登録制を導入すると記載され、法改正が決まっていますが、今年はそれに加え、「クレジットカードのセキュリティ対策を法的義務とする」検討が行われています。

クレジットカードのセキュリティに責任を有するのは、カード会社や決済代行会社ばかりではありません。今般の義務づけは、カード情報を扱う(カード加盟店となる)すべての事業者が対象です。ネットショップを運営する皆さんも、今後は十分に意識していただく必要があるのです。

ここでいうクレジットカードのセキュリティ対策とは何か。2つあります。

1つは言うまでもなく「安全管理措置」。顧客のカード番号を自社で保有している場合は、外部からの攻撃等によって番号情報を漏洩させないための技術的安全管理措置や、従業者の監督などの組織的安全管理措置を採ることが義務付けられます。繰り返される(加盟店からの)大規模な情報漏洩事件を受け、個人情報保護法とは別に、「クレジット取引の健全な発達」を目的の一つとする割販法としても、対応する必要に迫られたものです。(クレジットカード番号は、単体では個人情報に該当しないというのがクレジット業界の理解(主張)です。)

現行の割販法にも全く規定がない訳ではなく、カード会社に対して、「加盟店等に対する必要な指導その他の措置を講じること」が義務付けられています(法第35条の16第4項)。今回は、カード会社を通じた間接的な規制ではなく、加盟店等(現行法では「クレジット番号等保有業者」)に対して直接規制をかける方向で改正がされるのです。5/26開催の産業構造審議会商務流通情報分科会割賦販売小委員会において、基本的考え方が取りまとめられる予定です。

個々の加盟店、とりわけ中規模のネットショップなどに対し、どの程度の義務が課されるか、罰則はどうなるのか等については、この報告書で詳細が定められる訳ではなく、今後、経産省内で検討されることになります。ただ、大きな方向性として、特定の技術や手法(例えばPCIDSS)の採用を一律に要求するのではなく、「各事業者におけるリスクに応じて」求められる措置が変わってくる、という考え方が採られています。自力で安全に管理することが難しい中小零細のネットショップにとっては、「カード番号を一切持たない」というのが唯一最良の対応と言えると思います。

セキュリティ対策のもう1つの柱は、「不正使用防止策」です。サーバへの攻撃がどんどん先鋭化している現在、情報漏洩を完全に防止するのは不可能としても、漏洩したカード情報が不正に使用されようとする場面で対策が採られていれば、リスクが顕在化するのを避けられるという考え方ですね。購入者が対面でカードを提示するリアル店舗においては、決済端末をIC化対応することにより、偽造カードを検知し、不正使用による被害を避けることができます。カード自体のIC化はかなり進んだ(現在7割程度)そうですが、加盟店側の端末の対応が他国に比べて大幅に遅れているので、世界中の偽造カードが日本に来て暴れまくることになるのではないかと恐れられています。

では、オンラインでのカード決済はどうか。現状、不正なカード番号がオーソリを通り、商品発送(サービス提供)後にチャージバックされる、いわゆる「なりすまし」リスクは、3Dセキュアを導入していない限り、カード会社(アクワイヤラー)ではなく加盟店が負っているとお聞きしています。なので加盟店側としては、セキュリティコードを入力させたりブラック情報を共有したり、行動パターン分析から注文主に電話するといった地道な対応まで含め、不正使用の被害に遭わないよう様々な工夫を行っていると思います。今回の改正では、その「工夫」の部分を義務化することが検討されているのです。

と言っても、こちらも例えば「3Dセキュアを義務づける」と言った形ではなく、「各事業者におけるリスクに応じて」措置を求めるという考え方を採るので、個々のショップが具体的に何を(どの程度)しなければならないのか、現段階では想像がつきません。何かしなければならないのは、ショップではなく、決済の仕組みを提供する、モールや決済代行会社、ショッピングカートASPなのかもしれません。

セキュリティは本当に大事なことで、普段、消費者の自己責任とすべきことを事業者に転嫁するような規制には抵抗している私も、本件、特に番号情報の安全管理に関しては、オンライン取引全体の崩壊を避けるために、規制やむなしと思っています。本人確認の強化も基本的には賛成です。中小企業への配慮にも言及されており、その点は安心しているのですが、ただ、割販法で加盟店を直接縛るのは初めてのことなので、規制の客体となるネットショップに隅々までちゃんと理解されて混乱なく目的が実現されるのか?という点に、少し不安を感じています(杞憂かもしれませんが)。本件の検討の場には、ネットショップの実務を熟知している人は参加していないので、規制が導入された際、現場にどのような影響が出てくるのか、私を含め、誰も想像しきれていないのです。規制の効果という観点では、技術的な意味でのセキュリティ専門家の視点も十分ではないように思います。

そこで、特に加盟店の立場の方々にこの話を知っていただき、予想される(加盟店にとっての)マイナス面やそれを最小化する方策についてインプットをいただきたく、私が把握する限りの内容をご紹介してみました。十分に説明しきれていないところが多々ありますので、疑問点や感想その他何でも、メールやFBメッセージをいただけると嬉しいです。可能な限り、5/26の小委員会やその後の議論に反映させたいと思います。よろしくお願いいたします。
Posted by 沢田 登志子 at 21:12 | 沢田登志子 | この記事のURL | トラックバック(0)
プロフィール

ECネットワークさんの画像
リンク集
https://blog.canpan.info/ecnetwork/index1_0.rdf
https://blog.canpan.info/ecnetwork/index2_0.xml