割賦販売法の一部を改正する法律（改正割賦販売法）が2018年6月に施行された。カード発行会社だけでなく、クレジットカード決済を扱う加盟店に対し、カード情報を盗まれないための適切な管理、偽造カードを作らせないための不正使用対策が義務化されている。ただ、非対面加盟店のカード情報保護対策は2018年3月末で完了していることを前提としているにもかかわらず、対策が進んでいない現状がある。改正のポイントや具体的に講じるべき施策について、カード情報非保持化サービス「Pay TG」を手掛けるリンクのセキュリティプラットフォーム事業部 滝村享嗣事業部長に話を聞いた。

クレジットカード番号盗用の被害額が過去最高に

経済産業省が2025年までに国内のキャッシュレス決済比率を40％に引き上げる「キャッシュレス・ビジョン」を策定するなど、将来的にクレジットカード市場の拡大が見込まれている。一方、サイバー攻撃や不正アクセスによる情報漏洩が拡大。日本クレジット協会の調査によると、2017年のカード番号盗用による被害額は176億7,000万円と、前年の88億9,000万円より倍増している。

割賦販売法の改正により、クレジットカード会社は経産省への登録が必要となり、加盟店の適切性・安全性を調査することが義務化された。一方、加盟店に対してはカード番号などの情報漏洩対策と不正使用対策が義務付けられた。また、改正割賦販売法のガイドラインとなる「クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画」（以下、「実行計画」）では、電話・はがき・FAX等で注文を受け付けるMOTO（メールオーダー・テレフォンオーダー）加盟店におけるクレジットカード情報の非保持化もしくは非保持と同等相当を実現するセキュリティ措置が定義されている。

株式会社リンク セキュリティプラットフォーム事業部 事業部長 滝村享嗣氏

加盟店はカード情報非保持、もしくはPCI DSS準拠が必須に

最新版ガイドライン「実行計画」で示された加盟店におけるクレジットカード情報の保護対策の具体的措置としては、カード情報の非保持化（自社保有の機器やシステム内でカード情報を電磁的に保存・処理・通過させない）もしくはクレジットカード情報保護のための国際的なセキュリティ基準である「PCI DSS（Payment Card Industry Data Security Standard）」に準拠したシステム環境の整備が求められた。特に非対面加盟店の場合、カード情報保護対策を2018年3月末までに完了している必要があり、現時点で未対応の加盟店は法令上の基準を満たしていないことになる。
EC加盟店におけるカード非保持化を実現するセキュリティ措置は進んだものの、MOTO加盟店のカード情報非保持化は、いまだ対策が取られていない、もしくは遅れていることも少なくない。MOTO加盟店では多くの場合、決済処理時にカード情報を自社のネットワーク経由で送信する。この方式はカード情報の通過にあたり、PCI DSSの準拠が求められる。滝村氏によると、「PCI DSSに準拠する場合、たとえ自社保有のパソコンが1台のみだった場合でも、数百万から1,000万円規模の初期コストに加え、相応のランニングコストが発生する」という。

Pay TGのサービス概要図

既存の業務プロセスの変更を最小限に抑えたMOTO加盟店向け非保持化ソリューション

多くのMOTO加盟店が選択・検討しているのが、カード情報の非保持化だ。電話でヒアリングしたカード情報を加盟店のシステムを通過させず、決済代行会社へ送信する「外回り」方式を採用することで、業務プロセスを大幅に変える必要もない。リンクが提供するカード情報非保持化サービス「Pay TG」は非保持化ソリューションとして認定を受けており、PCI PTSの認定済の信用照会端末（CCT）相当／同等の決済専用端末にカード情報を入力することで「外回り」方式を実現している。「Pay TGの場合は現在の決済代行事業者を変更する必要もないほか、金額やカード情報の打ち間違いを発生させない仕組みをとることで、ECと同様の決済フローが可能になります」（滝村氏）。

すでに施行されている改正割賦販売法だが、大手通販加盟店でも対応が遅れている。滝村氏によると、特に「実行計画」で対応を言及されたMOTO加盟店の対応状況は全体の1～2割程度といい、対策が完了していない加盟店は法令上の基準を満たしていない状態という。「新たなコストが必要なのでどの企業も導入に慎重にならざるを得ない状況です。大手通販加盟店でも2019年までの対応としているところもあります」（滝村氏）。罰則は規定されていないが、このままの状態が続けば加盟店契約を解除され、決済不可となる可能性がある。滝村氏は「情報漏洩が発生した場合の損失は計り知れません。漠然としたコスト面の不安や知識不足から対応を後回しにするのではなく、関係各社と相談して対策を進めてください」と呼びかけた。