改正割賦販売法におけるカード情報非保持化達成について
本ブログでは、2018 年6月1日施行の改正割賦販売法におけるカード情報非保持化達成について解説いたします。
改正割賦販売法施行からカード情報保護による非保持対応
2018 年6月1日施行の改正割賦販売法において、カード情報の保護は、クレジットカード取引に関わる全ての事業者の責務となりました。背景には、クレジットカード情報の不正利用等での被害額増大という世界的問題がありますが、特に日本は2020年のオリンピック・パラリンピックに向けたキャッシュレス化推進と共に、カード情報の安全、安心な利用環境の整備、セキュリティ体制の強化が迫られています。
非対面型の加盟店(ECなど)は、2018年3月末までにカード番号非保持化、もしくは保持する場合はPCI DSSへの準拠が義務付けられていました。結果、多くの加盟店が非保持の選択をし、カード情報非通過のシステムを導入しています。また、対面型の加盟店(POS加盟店など)は、2020年3月末までに同様の対応が求められています。
改正割賦販売法における加盟店調査義務
改正割賦販売法では、カード会社や決済代行業者(アクワイアラー等)に加盟店調査義務を課しており、加盟店契約を新規に締結する際の初期調査と契約締結後の途上調査(さらに定期調査と随時調査に分かれる)に区別してその内容を規定しています。
経済産業省が公表している登録手続きの説明書「割賦販売法に基づく信用購入あっせん業者及びクレジットカード番号等取扱契約締結事業者の登録手続について(平成30年5月)」によると、この中の加盟店調査について、
- 加盟店調査について規程類を設け、責任部署及び責任者を明確に定めていること。
- 加盟店調査を行うに当たっての業務上の手続きが明確になっていること。また、加盟店 契約件数に応じて加盟店管理を適切に行うことのできる体制(ITシステムを活用している 部分はその状況を含む。)を整備していること。
- 加盟店が講じるべきクレジットカード番号等の漏えい等の事故及び不正利用を防止するための措置の基準を明確に定めていること。
など細かく提示されています。
セキュリティ対策が不十分な加盟店に対して、実行計画上の罰則規定はありませんが、契約先のカード会社等による加盟店調査を通じて、必要なセキュリティ対策措置を早急に講じるよう指導が行われます。指導があったにもかかわらず必要なセキュリティ対策が講じられない場合には、加盟店契約を解除される場合もあります。
社内システムに残っているカード情報の一掃
セキュリティ対策の一環として加盟店が対策すべきことに、社内のサーバやPCに残留している可能性のあるカード情報の削除があります。「非保持化システムを導入したので一安心」と思っていても万全ではありません。「実行計画2018」の主旨からすると、実現前後に関わらずカード情報をテキストデータで保存していた場合、「非保持」とは言えないことになります。
そこで、カード情報を保持していないか確認する手段として、ツールの活用があげられます。アララが提供する個人情報検出・管理ソリューション「P-Pointer File Security」は、ファイルの中身を高速で解析し、カード番号を含むファイルを自動的に洗い出すことができるツールです。
\カード情報をP-Pointerで検索している事例はこちら/
\カード情報を保持していないか「無料体験版」でチェック/
—参考情報—
