• もっと見る

<< 2016年12月 >>
        1 2 3
4 5 6 7 8 9 10
11 12 13 14 15 16 17
18 19 20 21 22 23 24
25 26 27 28 29 30 31
最新記事
カテゴリアーカイブ
月別アーカイブ
最新コメント
沢田登志子
ネット初心者 (11/09) 久米 信行
ネット初心者 (11/07) ななな
広告メール規制省令案パブコメ開始 (09/06) kanata
久しぶりのオークション (07/27) 事務局G
確定申告はお早めに (03/12) しゅう
確定申告はお早めに (03/11) 国際担当T
鬼のパンツ・・・?! (01/30) Sora
鬼のパンツ・・・?! (01/26) 沢田登志子
EC業界2008年年頭所感 (01/25) 国際担当T
アックゼロヨンアワード (01/09)
最新トラックバック
カード加盟店のセキュリティ対策義務 [2016年12月28日(Wed)]
割賦販売法改正内容の続きです。今回は、これまで割販法の直接の規制対象ではなかったカード加盟店に対し、セキュリティ対策の義務が課されたことについて書きます。

まずは条文から。前回の記事にも同じ条文を貼り付けましたが、省略した部分もあるので再掲します。下線は私です(以下同じ)。余談ですが「第35条のナントカのカントカ」という条番号がたくさんあり過ぎて、探すのが大変です。かっこの中にかっこがあるのも辛いです。こういう文章と日常的に向き合っている法律家や役人を尊敬します。

第35条の16(クレジットカード番号等の適切な管理)
クレジットカード番号等取扱業者(次の各号のいずれかに該当する者をいう。以下同じ。)は、経済産業省令で定める基準に従い、その取り扱うクレジットカード番号等(包括信用購入あつせん業者又は二月払購入あつせんを業とする者(以下「クレジットカード等購入あつせん業者」という。)が、その業務上利用者に付与する第2条第3項第1号の番号、記号その他の符号をいう。以下同じ。)の漏えい、滅失又は毀損の防止その他のクレジットカード番号等の適切な管理のために必要な措置を講じなければならない


ややこしいところを除いて主語と述語だけにしてみると、「次の一から三のどれかに当たる人は、クレジットカード番号を適切に管理するために必要な措置を講じなければいけない」ということですね。現行法では、「クレジットカード等購入あつせん業者」(イシュア)だけがその義務を負っていましたが、範囲が広がり、一号から三号のどれかに当たる場合は「クレジットカード番号等取扱業者」という名前がつけられて、新たに義務が課された訳です。

「クレジットカード番号等」の定義も(今回の改正部分ではないですが)一応見ておきます。「イシュアが利用者に付与する番号、記号その他の符号」とありますが、「第2条第3項第1号の」とは何でしょうか。第2条第3項は「包括信用購入あつせん」の定義です。その中で、「カード等」の定義として、「それを提示し若しくは通知して、又はそれと引換えに、特定の販売業者から商品若しくは権利を購入し、又は特定の役務提供事業者から有償で役務の提供を受けることができるカードその他の物又は番号、記号その他の符号」と書かれています。(余談ですが、対面でカード本体を見せる場合とオンラインで番号を入力する場合をいっぺんに定義するのは大変ですね。)

「クレジットカード番号等」は、「イシュアが利用者に付与する、そういう役割の(それを示せば買い物ができる)番号など」と読めば良いのかなと思います。「カード等」には自社割賦用のカードも含まれますが、セキュリティ対策が要求されるのは「クレジットカード等」だけなのですね。「クレジットカード等」の「等」には有効期限や暗証番号が含まれるようです。

「適切な管理」とは「漏えいや滅失や毀損を防ぐ」ことと書かれています。そのために何が「必要な措置」かについては、省令で基準が決められます。

では、義務を課される「クレジットカード番号等取扱業者」とは誰でしょうか。第35条の16第1項は、このように続いています。

一 クレジットカード等購入あつせん業者

二 特定のクレジットカード等購入あつせん業者のために、利用者がカード等を提示し若しくは通知して、又はそれと引換えに特定の販売業者から商品若しくは権利を購入し、又は特定の役務提供事業者から役務の提供を受けるときは、自己の名をもって当該販売業者又は当該役務提供事業者に包括信用購入あつせん又は二月払購入あつせん(略)に係る購入の方法により購入された商品若しくは権利の代金又は受領される役務の対価に相当する額の交付(当該販売業者又は当該役務提供事業者以外の者を通じた当該販売業者又は当該役務提供事業者への交付を含む。)をすることを業とする者(次条及び第35条の18第1項において「立替払取次業者」という。)

三 クレジットカード等購入あつせんに係る販売の方法により商品若しくは権利を販売する販売業者(以下「クレジットカード等購入あつせん関係販売業者」という。)又はクレジットカード等購入あつせんに係る提供の方法により役務を提供する役務提供事業者(以下「クレジットカード等購入あつせん関係役務提供事業者」という。)

一号は、イシュアのことです。前回も書きましたが、マンスリークリアも割賦販売も含めてクレジットカードを発行する事業者(イシュア)を総称して「クレジットカード等購入あつせん業者」と言っています。オンアス取引の場合は、アクワイヤラーも兼ねています。

二号は、オフアス取引の場合のアクワイヤラーのことです。

三号がいわゆる加盟店です。「クレジット決済で商品やサービスを提供する事業者」が、新たに「クレジットカード等購入あつせん関係販売業者」「クレジットカード等購入あつせん関係役務提供事業者」と名付けられました。現行法では、「クレジットカード番号等保有業者」の一つとしてカード会社の「指導を受ける」立場でしたが、今回の改正で、直接の規制対象となったのです。

この3種類の事業者(クレジットカード番号等取扱業者)には、もう一つ、「委託先に対する指導義務」が課されました。加盟店の委託先として真っ先に思い浮かぶのはPSP(決済代行会社)ですが、これに限らず、顧客のクレジットカード番号を取り扱う全ての事業者(例えば不正検知サービスを提供する事業者なども含まれる?)と考えて良いように思います。

第35条の16(クレジットカード番号等の適切な管理)
3 クレジットカード番号等取扱業者は、クレジットカード番号等取扱受託業者(当該クレジットカード番号等取扱業者からクレジットカード番号等の取扱いの全部若しくは一部の委託を受けた第三者又は当該第三者から委託(二以上の段階にわたる委託を含む。)を受けた者をいう。以下同じ。)の取り扱うクレジットカード番号等の適切な管理が図られるよう、経済産業省令で定める基準に従い、クレジットカード番号等取扱受託業者に対する必要な指導その他の措置を講じなければならない。


これら加盟店に新たに課された義務がきちんと果たされているかどうかについては、基本的には、アクワイヤラー/登録PSPが、加盟店調査の一環としてチェックすることになります。

第35条の17の8(クレジットカード番号等取扱契約締結事業者の調査等)
クレジットカード番号等取扱契約締結事業者は、クレジットカード番号等取扱契約を締結しようとする場合には、その契約の締結に先立つて、経済産業省令で定めるところにより、販売業者又は役務提供事業者によるクレジットカード等の適切な管理及び利用者によるクレジットカード番号等の不正な利用の防止を図るため、クレジットカード番号等取扱契約を締結しようとする販売業者又は役務提供事業者に関し、クレジットカード等の適切な管理又は利用者によるクレジットカード番号等の不正な利用の防止(以下「クレジットカード等の適切な管理」等という。)に支障を及ぼすおそれの有無に関する事項であって経済産業省令で定める事項を調査しなければならない。

2 クレジットカード番号等取扱契約締結事業者は、前項の規定による調査その他の方法により知つた事項からみて、販売業者又は役務提供事業者が講じようとする第35条の16第1項若しくは第3項又は第35条の17の15に規定する措置がそれぞれ第35条の16第1項若しくは第3項又は第35条の17の15に規定する基準に適合せず、又は適合しないおそれがあると認めるときは、クレジットカード番号等取扱契約を締結してはならない

3 クレジットカード番号等取扱契約締結事業者は、そのクレジットカード番号等取扱契約を締結したクレジットカード等購入あつせん関係販売業者又はクレジットカード等購入あつせん関係役務提供事業者について、定期的に、又は必要に応じて、経済産業省令で定めるところにより、第1項に規定する事項を調査しなければならない。

4 クレジットカード番号等取扱契約締結事業者は、前項の規定による調査その他の方法により知つた事項からみて、クレジットカード等購入あつせん関係販売業者又はクレジットカード等購入あつせん関係役務提供事業者が講ずる第35条の16第1項若しくは第3項又は第35条の17の15に規定する措置がそれぞれ第35条の16第1項若しくは第3項又は第35条の17の15に規定する基準に適合せず、又は適合しないおそれがあると認めるときは、クレジットカード番号等取扱契約の解除その他の経済産業省令で定める措置を講じなければならない。

5 クレジットカード番号等取扱契約締結事業者は、経済産業省令で定めるところにより、第1項及び第3項の規定による調査に関する記録を作成し、これを保存しなければならない。


第1項は、いわゆる「初期(契約時)審査」です。アクワイヤラー/登録PSPは、加盟店契約を締結する前に、その加盟店がやろうとしているセキュリティ対策(漏えい防止措置や不正使用防止措置)が基準に合っているかどうか調査しなければならないのです。そして第2項で、「調査の結果がダメだったら加盟店契約を締結してはならない」とされています。

店舗としては、新たにカード決済を導入したくても、セキュリティ対応が不十分とみなされたら、加盟店契約ができないことになります。

のみならず、第3項では、既に加盟店契約をしている店舗についても、アクワイヤラー/登録PSPが「定期的に、又は必要に応じて」調査をすること=いわゆる「途上審査」も義務とされ、セキュリティ対応が不十分とみなされた加盟店は、最悪の場合、加盟店契約を解除されてしまう(それまでできていたカード決済ができなくなる)ことになりました。

さらに今回の改正では、加盟店(及びその委託先)に対しても、経済産業省が立入検査できると規定されました。

第41条(立入検査)
3 経済産業大臣は、この法律の施行に必要な限度において、その職員に、クレジットカード番号等取扱業者又はクレジットカード番号等取扱受託業者の営業所又は事務所に立ち入り、帳簿、書類その他の物件の検査(クレジットカード番号等の適切な管理等の状況に係る者に限る。)をさせることができる。


これはよっぽどの事態ですね。通常は、アクワイヤラー/登録PSPの加盟店管理に委ねるのだと思いますが、加盟店にとっては、いよいよ、セキュリティ対策を整えないとまずい状況になってきたと言えそうです。
Posted by 沢田 登志子 at 09:49 | 沢田登志子 | この記事のURL | トラックバック(0)
割賦販売法改正案が成立しました [2016年12月16日(Fri)]
今年5月にご紹介したクレジットカード加盟店へのセキュリティ対策義務付け(他)について、12月2日、改正割賦販売法が成立しました。新旧対照表などはこちらに。

基本的には経産省産業構造審議会割賦販売小委員会の報告書(2015年7月版2016年6月追補版)に沿ったものですが、出来上がった条文にはかなりの「工夫」が凝らされているので、正直言って、解読がとても難しいです(逐条解説に期待したいと思います)。先日、関係事業者有志で勉強会を開催し、経産省の担当課長においでいただいて丁寧に解説していただきましたので、私の理解できた範囲にとどまってしまいますが、主な内容をご報告いたします。(網羅的ではありません。)

今回の改正で新たに導入されたのは、ざっくりいうと次の3点です。
(1) アクワイヤラーの登録制+加盟店調査義務
(2) 決済代行会社への任意登録制+加盟店調査義務
(3) 加盟店のセキュリティ対策・不正使用対策義務

(1)は、イシュア(カード発行会社)とアクワイヤラー(加盟店契約会社)の機能が分化してきた実態に合わせ、これまでイシュアのみであった登録義務をアクワイヤラーにも課して、加盟店調査を強化してもらおうという趣旨です。

国内のカード会社の多くはカード発行業務と加盟店契約業務を両方やっているので、これまではイシュアのみを対象とした規制でも(理屈はともかく)実質的にはあまり問題がなかったのですが、アクワイヤリング専業の会社や、海外のアクワイヤラーが国内の加盟店と契約するケースが出てきて、やや実態に合わなくなってきたということだと思います。

更に、アクワイヤラーと加盟店の間に入り、加盟店契約の取りまとめをしたり、決済情報の仲介をしたりする決済代行会社(PSP;Payment Service Provider)の存在感が高まっていることに着目し、ここに任意の登録制を導入して、加盟店調査の役割を一部担ってもらおうというのが(2)です。

この(1)と(2)は、新設された次の条項に規定されています。(下線は筆者。以下同じ。)

第35条の17の2(クレジットカード番号等取扱契約締結事業者の登録)
次の各号のいずれかに該当する者は、経済産業省に備えるクレジットカード番号等取扱契約締結事業者登録簿に登録を受けなければならない。

一 クレジットカード等購入あつせんに係る販売又は提供の方法により商品若しくは権利を販売し、又は役務を提供しようとする販売業者又は役務提供事業者に対して、自ら利用者に付与するクレジットカード番号等を取り扱うことを認める契約を当該販売業者又は当該役務提供事業者との間で締結することを業とするクレジットカード等購入あっせん業者

二 特定のクレジットカード等購入あつせん業者のために、クレジットカード等購入あっせんに係る販売又は提供の方法により商品若しくは権利を販売し、又は役務を提供しようとする販売業者又は役務提供事業者に対して、当該クレジットカード等購入あっせん業者が利用者に付与するクレジットカード番号等を取り扱うことを認める契約を当該販売業者又は当該役務提供事業者との間で締結することを業とする者


一号は、オンアス取引の場合のイシュア兼アクワイヤラーのことです。「加盟店に対して、自分が発行するクレジットカード番号を取り扱ってもいいよと言える(それを仕事にしている)イシュア」ということですね。「クレジットカード等購入あつせん業者」は、第35条の16第1項で「包括信用購入あつせん業者又は二月払購入あつせんを業とする者」と定義されています。マンスリークリアも割賦販売も含めたイシュアの総称です。

二号は、オフアスの場合のアクワイヤラーをまずは念頭に置いています。「特定のクレジットカード等購入あつせん業者のために」つまり誰か自分とは別のイシュアのために、「加盟店に対して、そのイシュアが発行するクレジットカード番号を取り扱ってもいいよと言える(それを仕事にしている)者」ということで、「加盟店契約をする会社」のことなのですが、よく読むと、以下の「立替払取次業者」とは定義が異なっています。


第35条の16(クレジットカード番号等の適切な管理)
クレジットカード番号等取扱業者(略)は、経済産業省令で定める基準に従い、その取り扱うクレジットカード番号等(略)の漏えい、滅失又は毀損の防止その他のクレジットカード番号等の適切な管理のために必要な措置を講じなければならない。

一 クレジットカード等購入あつせん業者
二 特定のクレジットカード等購入あつせん業者のために、利用者がカード等を提示し若しくは通知して、又はそれと引換えに特定の販売業者から商品若しくは権利を購入し、又は特定の役務提供事業者から役務の提供を受けるときは、自己の名をもって当該販売業者又は当該役務提供事業者に包括信用購入あつせん又は二月払購入あつせん(次号及び第35条の17の2において「クレジットカード等購入あつせん」という。)に係る購入の方法により購入された商品若しくは権利の代金又は受領される役務の対価に相当する額の交付(当該販売業者又は当該役務提供事業者以外の者を通じた当該販売業者又は当該役務提供事業者への交付を含む。)をすることを業とする者(次条及び第35条の18第1項において「立替払取次業者」という。)
(三 省略)

どちらもアクワイヤラーのこと、と言っても間違いではなさそうですが、「立替払取次業者」は、消費者がカードで買い物をした時に、その代金を加盟店に立替払いする」という機能に着目した定義ですね。これができるのは、いわゆるカード会社です。オフアス取引では、アクワイヤラーの立場のカード会社は、VISAやMastercardなど国際ブランドとの契約に基づき、加盟店に立替払いした金額をイシュアに請求し、イシュアがカード会員(消費者)に請求します。第35条の16は「カード番号の適切な管理義務」を定めたものなので、カード番号の情報が通過する「立替払取次業者」を規制対象としている訳です。

これに対し第35条の17の2の二号は、「立替払先となる加盟店を選んで契約する」という機能を表現しています。「加盟店を選んで契約する」という業務がすなわちアクワイヤリングですが、これを行うのは、自己名義で立替払いをするいわゆるカード会社に限らず、PSPが、カード会社から「加盟店を選んで契約する」業務を委任されていることもあるでしょう。そういうPSPであれば、アクワイヤラーと同じく、登録を受ける義務がありますよ、というのが第35条の17の2の二号の規定です。

では、「加盟店を選んで契約する」業務を行ってはいるが、最終判断権限がアクワイヤラーにある場合は?この場合のPSPには、登録を受ける義務はありません。しかし(条文には明記されていませんが)任意で登録を受けることはできるそうです。経産省としては、Fintech企業を含め、できるだけ多くのPSPに登録を受けていただき、ガイドラインに従った加盟店調査を行なって欲しいとのことでした。

(追記)上記記載がやや不正確だったので、訂正します。
PSPが最終判断権限を持たない場合も、将来、権限を持つ場合に備えて任意で登録を受けることは可能ですが、法律で要求される加盟店調査義務は、最終判断権限を持っていないと完全には履行できないので、任意で登録を受けるPSPには義務はかからないとのことです。この場合は、アクワイヤラーに義務が残る、つまり任意に登録を受けたPSPと契約していたとしても、登録義務と加盟店調査義務はアクワイヤラーが負うことになるそうです。
(経産省からご指摘をいただきました。ありがとうございました!)


今回改正で注目すべき点がもう一つあります。第35条の17の2の登録を受ける義務は、海外アクワイヤラーにも適用されるという点です。

第35条の17の3(登録の申請)
前条の登録を受けようとする者は、次の事項を記載した申請書を経済産業大臣に提出しなければならない。
一 名称
二 本店その他の営業所(外国法人にあっては、本店及び国内における主たる営業所その他の営業所)の名称及び所在地
三 役員の氏名
(第2項、第3項省略)


とは言っても、日本国内に拠点がない場合は登録を受けられません。

第35条の17の5(登録の拒否)
経済産業大臣は、第35条の17の3第1項の申請書を提出した者が次の各号のいずれかに該当するとき、又は当該申請書若しくはその付属書類のうちに重要な事項について虚偽の記載があり、若しくは重要な事実の記載が欠けているときは、その登録を拒否しなければならない。
一 法人でない者
二 外国法人である場合には、国内に営業所を有しない者
(以下省略)


つまり、海外アクワイヤラーが日本の加盟店と契約する場合、一義的には日本国内に営業所を設けて自身で登録を受ける必要がありますが、それを行わない場合は、日本に拠点を持つPSPに加盟店調査業務を全面的に委任した上で、そのPSPに登録を受けさせないと適法にならない、ということになります。

これはあくまでアクワイヤラー/PSPが「日本の加盟店と契約する場合」であって、「日本の消費者と契約する加盟店と契約する場合」ではないので、海外所在の加盟店が(例えばインターネット経由で)日本人相手によろしくない商売をしていたとしても、アクワイヤラー、PSP共に海外であった場合には、割賦販売法では規制対象外です。

以上、まずはアクワイヤラー(&PSP)の登録義務についてご紹介しました。長くなってしまったので、(3)のセキュリティ対策については次回書きます。
Posted by 沢田 登志子 at 10:26 | 沢田登志子 | この記事のURL | トラックバック(0)
プロフィール

ECネットワークさんの画像
リンク集
https://blog.canpan.info/ecnetwork/index1_0.rdf
https://blog.canpan.info/ecnetwork/index2_0.xml