【ニュースの深層】□□72 経済産業省割販法改正に伴うカードセキュリティー対策「非通過型」かPCI―DSS準拠を

 ネット通販事業者などにクレジットカード情報の保護を義務付ける内容を盛り込んだ割賦販売法改正案が成立し、18年6月までに改正法が施行される。これによりネット通販でカード決済を利用する場合は本人確認のため、通販会社に登録しているパスワードの入力が求められる。また、決済代行サービスを利用する場合も、カード情報の保存・処理・送信のいずれもしない「非通過型」の仕組みにするか、「通過型」を使い続ける場合ならPCI―DSS(データセキュリティーの国際規格)に準拠しなければない。事業者は対応が迫られている。

■情報保持と見なされる「通過型」
 クレジットカード取引の国内での不正使用被害額は15年に120億円となり、3年間で約1・8倍に急増している。カード会社、決済代行会社、加盟店に対して業界全体として不正利用防止を講じていくために、昨年に「クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画」が出された。
 16年12月に経産省が割販法の一部改正に伴うセキュリティー対策の義務化や各社がどういった対策を取るべきかについて資料を公表している。
 カード加盟店となるネット通販事業者の多くは決済代行会社を利用している。決済代行サービスには、(1)ウェブサイトでカード情報の保存・処理・送信のいずれもない「非通過型(非保持型」(2)ウェブサイトでカード情報の保存はしないが、処理・送信は行う「通過型」ーーーの2種類がある。
 従来は「通過型」もカード情報を保持していないとされてきたが、カード情報を保持すると見なされることになった。これにより、ネット通販各社は「非通過型」を利用するか、「通過型」を利用する場合は18年3月末までにPCI―DSSの準拠を完了することを目指すよう求められている。
 今般のセキュリティー対策について通販会社向けにセミナーを頻繁に開催している決済代行大手のGMOペイメントゲートウェイ(本社東京都)によると、「通過型」は購入者がカード情報を入力する際に画面遷移などが少ないため、利用割合からするとこれまでは「通過型」が主流だったという。
 PCI―DSSの準拠には負担が増加する可能性が高いが、カード番号を基幹システムなどに取り込み、それを基にポイントなどを付与している事業者は運用を変更したり、システム改修が必要になる点から、「通過型」を引き続き利用するケースがあるようだ。

(続きは、「日本流通産業新聞」3月9日号で)

記事は取材・執筆時の情報で、現在は異なる場合があります。

ニュースの深層 連載記事
List

Page Topへ