来年3月までにカード番号「非通過」に!
[2017年05月16日(Tue)]
昨年から何回か続けて(と言っても数ヶ月おきですが)割賦販売法改正について書いてきました。5月10日、経済産業省から、省令改正の方向性に関する報告書が公表されましたので、EC事業者に関わる部分(セキュリティ対策義務)について改めてご紹介します。
改正法でEC加盟店に新たに課せられた義務は、
1)クレジットカード番号等の適切な管理(改正法第35条の16)
2)クレジットカード番号等の不正な利用を防止するために必要な措置(改正法第35条の17の15)
の2点です。
今回の報告書では省令の文言までは提案されませんでしたが、これらの義務を履行するにあたっての実務上の指針として、クレジット取引セキュリティ協議会による「クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画-2017-」が指定されています。加盟店は、この「実行計画」に沿った措置(or同等以上の措置)を講ずることを求められます。それをチェックするのはカード会社(アクワイアラー)の役割です。
「実行計画」では、1)クレジットカード番号等の適切な管理について次のように定めています(EC加盟店に関する部分のみ抜粋)。
2018年3月末までに、特にカード情報の漏えいの頻度が高い非対面(EC)加盟店については原則として非保持化(保持する場合はPCI DSS 準拠)を推進するとともに、カード会社(イシュアー・アクワイアラー)及び PSP については PCI DSS準拠を求めることとする。(略)
実行計画で示す加盟店における「非保持化」とは、カード情報を保存する場合、それらの情報は紙のレポートやクレジット取引にかかる紙伝票のみであり、電磁的に送受信しないこと、すなわち「自社で保有する機器・ネットワークにおいて「カード情報」を『保存』、『処理』、『通過』しないこと」をいう。(略)
「実行計画」は法令ではなく、あくまで民間事業者による「計画」という位置付けです。しかし割賦販売法で直接規制を受けるアクワイアラーは、加盟店への指導をきっちりやらないと加盟店調査義務違反を問われます。なのでEC加盟店は「非保持もしくはPCI DSS準拠」を実現しないとアクワイアラーから指導を受け、最終的には加盟店契約を切られる可能性があるのです。
2017版では、「非保持」の定義も明確になりました。「通過型」は非保持とは認められず、ログが残っていれば消去も求められます。期限は来年3月に迫っているので、是非早めに、ご契約のカートさんやPSP(決済代行会社)さん等にご相談いただくことをお薦めします。
EC加盟店におけるカード情報の非保持化を推進するため、PCIDSS準拠済みのPSPが提供するカード情報の非通過型(「リダイレクト(リンク)型」又は「Java Script を使用した非通過型」)の決済システムの導入を促進することとする。なお、非通過型を導入した EC加盟店において、業務の都合上、PSPより還元されたカード情報を保持する場合にはPCI DSS準拠が必要である。(略)
すでに通過型を導入しているEC加盟店は、自社サイトにカード情報を含む決済情報等のログが蓄積される等のシステム的課題を認知できていないケースもあることから、カード会社(アクワイアラー)及びPSPは、これら加盟店に対する注意喚起を行い、早急にシステムログ等の消去を求める。さらに、カード情報を保持しない非通過型システムへの移行を強く推奨する。なお、EC加盟店において、通過型か非通過型の認識がなく、カード情報の漏えい事故が発覚してから、通過型を採用していたことを認識したとする事例もあり、注意が必要である。
その上で、カード情報を保持する場合はPCI DSS準拠を求める。
2)クレジットカード番号等の不正な利用を防止するために必要な措置 については次回書きます。
改正法でEC加盟店に新たに課せられた義務は、
1)クレジットカード番号等の適切な管理(改正法第35条の16)
2)クレジットカード番号等の不正な利用を防止するために必要な措置(改正法第35条の17の15)
の2点です。
今回の報告書では省令の文言までは提案されませんでしたが、これらの義務を履行するにあたっての実務上の指針として、クレジット取引セキュリティ協議会による「クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画-2017-」が指定されています。加盟店は、この「実行計画」に沿った措置(or同等以上の措置)を講ずることを求められます。それをチェックするのはカード会社(アクワイアラー)の役割です。
「実行計画」では、1)クレジットカード番号等の適切な管理について次のように定めています(EC加盟店に関する部分のみ抜粋)。
2018年3月末までに、特にカード情報の漏えいの頻度が高い非対面(EC)加盟店については原則として非保持化(保持する場合はPCI DSS 準拠)を推進するとともに、カード会社(イシュアー・アクワイアラー)及び PSP については PCI DSS準拠を求めることとする。(略)
実行計画で示す加盟店における「非保持化」とは、カード情報を保存する場合、それらの情報は紙のレポートやクレジット取引にかかる紙伝票のみであり、電磁的に送受信しないこと、すなわち「自社で保有する機器・ネットワークにおいて「カード情報」を『保存』、『処理』、『通過』しないこと」をいう。(略)
「実行計画」は法令ではなく、あくまで民間事業者による「計画」という位置付けです。しかし割賦販売法で直接規制を受けるアクワイアラーは、加盟店への指導をきっちりやらないと加盟店調査義務違反を問われます。なのでEC加盟店は「非保持もしくはPCI DSS準拠」を実現しないとアクワイアラーから指導を受け、最終的には加盟店契約を切られる可能性があるのです。
2017版では、「非保持」の定義も明確になりました。「通過型」は非保持とは認められず、ログが残っていれば消去も求められます。期限は来年3月に迫っているので、是非早めに、ご契約のカートさんやPSP(決済代行会社)さん等にご相談いただくことをお薦めします。
EC加盟店におけるカード情報の非保持化を推進するため、PCIDSS準拠済みのPSPが提供するカード情報の非通過型(「リダイレクト(リンク)型」又は「Java Script を使用した非通過型」)の決済システムの導入を促進することとする。なお、非通過型を導入した EC加盟店において、業務の都合上、PSPより還元されたカード情報を保持する場合にはPCI DSS準拠が必要である。(略)
すでに通過型を導入しているEC加盟店は、自社サイトにカード情報を含む決済情報等のログが蓄積される等のシステム的課題を認知できていないケースもあることから、カード会社(アクワイアラー)及びPSPは、これら加盟店に対する注意喚起を行い、早急にシステムログ等の消去を求める。さらに、カード情報を保持しない非通過型システムへの移行を強く推奨する。なお、EC加盟店において、通過型か非通過型の認識がなく、カード情報の漏えい事故が発覚してから、通過型を採用していたことを認識したとする事例もあり、注意が必要である。
その上で、カード情報を保持する場合はPCI DSS準拠を求める。
2)クレジットカード番号等の不正な利用を防止するために必要な措置 については次回書きます。