クレジットカードの加盟店に顧客のカード情報の非保持・非通過(※)を原則的に義務付ける改正割賦販売法が、6月1日に施行された。電話でカード番号を聞き注文を受け付ける従来型の通販については、非保持化に当たって取るべき対応策の公表が昨年11月末と比較的遅くなったこともあり、施行日までに対応が間に合わない企業が続出するのではないかと懸念されていた。決済代行会社4社を対象に、本紙がこのほど行った聞き取り調査では、全4社が「非対面販売を行う加盟店の内、7割以上が非保持化に対応済み」と答えた。その内3社は「9割以上が対応済み」だと言う。一方、中堅通販企業7社に話を聞いたところ、「電話注文のみ非保持化に対応できていない」という企業が4社あった。
■加盟店契約の解除も
改正割販法の実質的なガイドラインである「実行計画」では、通販企業を含む加盟店の取るべき対応方法として、「クレジット情報の国際的なセキュリティー基準であるPCIDSS(※)への準拠」もしくは「カード情報の非保持」を示していた。PCIDSSの準拠には多額のコストがかかるため、多くの加盟店企業が非保持化に向けた対応を進めてきた。現時点で非保持化対応すらできていない場合、法解釈上は「違法状態」ということになる。
カード会社や決済代行会社には、加盟店管理義務があるため、”違法状態”の加盟店があれば、加盟店契約が打ち切られる可能性もある。
■カード会社は把握せず
改正法の施行後、”違法状態”に陥った企業はどれくらいあったのだろうか。国内の大手クレジット会社数社に話を聞いたところ「現時点で非保持化に対応した企業の割合などは把握できていない」と、異口同音に答えた。JCBでは「今後大規模な加盟店調査などを行うことを検討しているが、いつごろ実施するかについては未定。現在は大手企業を中心に、非保持化の対応状況について、ヒアリングを行っている」と話している。
決済代行会社にも、カード会社と同じく加盟店の管理義務がある。本紙では、大手を含む決済代行会社4社に、非対面の契約加盟店の非保持化対応状況について聞いた。
(続きは、「日本流通産業新聞」6月7日号で)
※非保持・非通過とは…加盟店が、「カード情報を保存する際に、電磁的に送受信しないこと、すなわち、自社で保有する機器・ネットワークにおいてカード情報を『保存』『処理』『通過』しないこと」を言う。日本クレジット協会が主宰するクレジット取引セキュリティ対策協議会が策定した「クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画—2017—」の中で示された。
※PCIDSS…クレジットカード会員の情報を保護することを目的に定められた、クレジットカード業界の情報セキュリティ基準。アマゾンジャパンや楽天市場はすでに対応している。対応には多額の費用が必要になるとされる。
〈改正割販法〉 「7割超の通販企業が対応済み」/決済代行会社4社が聞き取り調査に回答
記事は取材・執筆時の情報で、現在は異なる場合があります。