これからのネット取引を考える ＥＣネットワーク

前回の記事に関し、ギョーカイの方々から様々なインプットをいただきました。ありがとうございます！5/26に、報告書（追補版）がほぼセットされました（最終版はまだ公表されていないようですが）。

その前にネットショップさん数社から、モール店舗ではなく本店（自社ドメイン店）の事情についてお話を聞いてみました（飲み会のついでにちょこっとでしたが）。不正使用対策については、3Dセキュアにしろセキュリティコードにしろ、やはり買い物かご（ショッピングカート）システムの仕様に左右されるとのことでした。

ショッピングカートASPでは、関連会社や提携先を通じて決済代行機能も提供していることが多いようで、怪しいカード情報を検知すると、加盟店にアラートを出してくれるそうです。なので、今回の対策強化は、モールと同様、カートASP事業者に協力を求める必要があると思います。逆に言えば、そこで十分な協力が得られるのであれば、モールやASPを利用する零細加盟店に対し、直接、義務を課す必要はないのかも知れません。扱っている商材が物流を伴わないデジタルコンテンツや換金性の高い商品の場合は狙われやすいですが、単価の安い加工食品等であれば、不正カードの被害に遭うリスクは限りなく低いということも、考えに入れておく必要がありそうです。（・・・ということを、小委員会で発言してきました。）

今度の法改正では、決済代行会社（PSP）の登録制が導入されます（任意ですが）。カートASPの提供する決済代行機能がその定義に当てはまるのかどうか、まだよくわかりません。カートASPに対し「協力を求める」のか「割販法の規制を直接適用する」のかは大きな違いです。ショップ側からは「カート＝決済」と見えているように感じ受けますが、サービスとしてどの程度一体化しているのか、会社によって様々なのかも知れませんが、実情をお聞きしてみたいです。

一方、カード番号の管理については、私がお聞きした限りでは自社で「保有」している例はなく、ネットショップは「非保持」については全く違和感がないことを改めて確認できました。ただ、今年2月にクレジット取引セキュリティ対策協議会がまとめた「クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画」では、カード情報がショップのサーバーを通過しない「非通過型」だけを「非保持」と認め、「通過型」にはやはり漏洩のリスクがある、とされています。

「通過型」という形態が許容されてきたのも「カゴ落ち」への配慮とのことです。実態としては、まだ「通過型」のものが多いのでしょうか（この点をショップさんに確認するのを忘れました）。だとしたら、消費者の認識不足がセキュリティ対策の足を引っ張ることにならないよう、意識向上が欠かせないですね。小委員会では、その役割も政府に期待する声が上がっていましたが、むしろ消費者団体に頑張って欲しいところです。

零細ショップの事情はこのような感じですが、番号情報管理についても不正使用対策についても、一番問題になりそうなのは、ASPなどを使わずに自社で独自のEコマースシステムを作っている（かつ日々まとまった量のデータが行き交う）中堅どころではないかという気がします。