経産省、「クレジットカード・セキュリティガイドライン【3.0版】」公表
岩田合同法律事務所
弁護士 堀 譲
1 はじめに
経済産業省は、令和4年3月8日に開催された「クレジット取引セキュリティ対策協議会第8回本会議」において改訂された「クレジットカード・セキュリティガイドライン【3.0版】」(以下「本ガイドライン」という。)を公表した。本ガイドラインは、クレジットカード取引に関わるカード会社、加盟店、決済代行業者等の関係事業者が実施するべきセキュリティ対策の取組を取りまとめたものであり、クレジットカード情報漏えい・不正利用防止の観点から、クレジットカード関連企業が率先して取り込んでいくべきものと考えられるため、本稿において、その改訂ポイントの概略を紹介する。
2 本ガイドラインの法令上の位置づけ
割賦販売法により、クレジットカード加盟店は、情報漏えい防止の対策及び不正利用防止の対策を施すことが義務付けられている(同法35条の16、35条の17の15等参照)。また、クレジットカード会社についても、加盟店の適切性・安全性を調査することが義務付けられている(同法35条の17の8参照)。
本ガイドラインは、割賦販売法に規定するセキュリティ対策義務の「実務上の指針」として位置づけられており、本ガイドラインに掲げられている措置又はそれと同等以上の措置を適切に講じている場合には、同法で定めるセキュリティ対策の基準を満たしているものと認められることとなる。
3 クレジットカード情報漏えい防止対策
クレジットカードの情報漏えい対策としては、従前、加盟店におけるカード情報の「非保持化」(加盟店で保有する機器・ネットワークにおいてカード情報を保存、処理、通過しないこと)がガイドラインに規定されていたところ、これに加え、本ガイドラインにおいては、脆弱性対策、ウイルス対策、管理者権限の管理、デバイス管理等の漏えい防止対策の実施が加えられた。
また、情報漏えい対策として、従前のガイドライン2.0では、加盟店(カード情報の非保持化を達成した加盟店を除く)、カード会社、決済代行会社、コード決済事業者において、セキュリティ対策として、「PCI DSS準拠」[1]が求められていたところ、本ガイドラインでは、更にECモール及びECシステム提供会社等を加えた全てのクレジットカード番号等取扱業者について、「PCI DSS準拠」が明確化された。
(上記一覧記載の各対策の詳細は、本ガイドラインを参照されたい。)
4 クレジットカードの不正利用対策
本ガイドラインでは、対面取引における不正利用対策として、加盟店でのPIN(暗証番号)入力のスキップ機能の廃止が不正利用対策として加えられた。現状、顧客がPIN(暗証番号)を失念した際に、サインによって決済を可能とするPIN(暗証番号)入力スキップ機能の運用が許容されているが、不正利用の被害が発生するリスクがあるため、当該機能は2025年3月までに原則廃止されることとなった。
なお、日本において、これまで長年にわたり、本人確認の方法として、加盟店において顧客のサインを取得し、顧客のクレジットカードの自署欄のサインとの照合が行われてきたところ、顧客自ら決済端末にカードを挿抜する又はかざす決済オペレーションが増加しつつあるなどの商慣習の変化があり、また、国際ブランドのルールも変更され、サインの取得は加盟店の任意とする動きがあり、世界的には、すでにサインが従来果たしてきた本人確認としての有効性が低下していることから、本ガイドラインにおいて、本人確認方法としての「サイン」の取得は、2025年3月を目途に、加盟店の任意とし、取得しないことを推奨することとなった。
また、本ガイドラインでは、非対面取引における不正利用対策として、EMV3-Dセキュアの導入が求められている。3-D セキュアとは、オンラインショッピング時にクレジットカード番号等の情報の盗用による不正利用を防ぎ、安全にクレジットカード決済を行うための本人認証サービスのことであり、EMV 3-D セキュアとは、3-D セキュア 1.0 からバージョンアップされ、新たに標準化された仕様である。従前のガイドライン2.0においても、EMV3-Dセキュアの導入対応が求められていたが、3-Dセキュア1.0の取扱いが2022年10月をもって終了するため、本ガイドラインでは、できる限り早期にEMV 3-D セキュアを導入することが推奨されている。特に、高リスク商材取扱加盟店[2]及び不正顕在化加盟店[3]においては、3-Dセキュア1.0を導入していたとしても、EMV 3-D セキュアへ移行していないと、不正利用対策を講じていると認められないこととなっている。
5 終わりに
クレジットカード情報の不正利用は近年多発しており、また、巧妙化していることから、クレジットカードの信頼性を担保する意味においても、最新の情報漏えい対策や不正利用対策を施すことが必要である。情報漏えい防止の対策及び不正利用防止の対策を施すことは、割賦販売法の趣旨に鑑みても必要な対策と考えられることから、クレジットカード関連事業者においては、本ガイドラインの内容を精査し、事業業種ごとに対策を施すことが求められる。
なお、クレジットカード・セキュリティガイドラインは、2020年3月の制定以降、毎年改訂されていることから、クレジットカード関連事業者においては、今後もガイドライン改訂の動向を注視する必要があるものと思料される。
以 上
[1] クレジットカード会員データを安全に取り扱う事を目的として策定された、クレジットカード業界のセキュリティ基準であり、Payment Card Industry Data Security Standardの頭文字をとったもの。
[2] 不正利用被害の発生状況からリスクの高い商材として選定した①デジタルコンテンツ(オンラインゲームを含む)、②家電、③電子マネー、④チケット、⑤宿泊予約サービスを主たる商材として取り扱う加盟店
[3] クレジットカード会社等が不正利用被害が多発している状況にあると認識する加盟店
(ほり・ゆずる)
岩田合同法律事務所所属。2010年中央大学法学部卒業。2013年立教大学法科大学院修了。2014年12月検事任官。東京地方検察庁、高松地方検察庁、神戸地方検察庁勤務を経て、2020年4月「判事補及び検事の弁護士職務経験に関する法律」に基づき弁護士登録。
岩田合同法律事務所 http://www.iwatagodo.com/
<事務所概要>
1902年、故岩田宙造弁護士(後に司法大臣、貴族院議員、日本弁護士連合会会長等を歴任)により創立。爾来、一貫して企業法務の分野を歩んできた、我が国において最も歴史ある法律事務所の一つ。設立当初より、政府系銀行、都市銀行、地方銀行、信託銀行、地域金融機関、保険会社、金融商品取引業者、商社、電力会社、重電機メーカー、素材メーカー、印刷、製紙、不動産、建設、食品会社等、我が国の代表的な企業等の法律顧問として、多数の企業法務案件に関与している。
<連絡先>
〒100-6315 東京都千代田区丸の内二丁目4番1号丸の内ビルディング15階 電話 03-3214-6205(代表)