経産省、「クレジットカード加盟店契約に関するガイドライン」を策定
岩田合同法律事務所
弁護士 唐 澤 新
経済産業省は、平成29年7月3日、改正割賦販売法の施行に向け、クレジットカード加盟店契約を締結又は改定する際の参考とすべき一般的なモデル契約条項等を示すため、「クレジットカード加盟店契約に関するガイドライン」(以下「本ガイドライン」という。)を策定した。
本ガイドラインの内容の紹介に入る前に、平成28年12月に公布された改正割賦販売法の主な改正点を整理したい。まず、加盟店との関係では、加盟店は、新たに、クレジットカード番号等の適切な管理のために必要な措置(法35条の16)及び不正使用の防止のために必要な措置(法35条の17の15)を講じることが義務づけられた。他方で、クレジットカード番号等取扱契約締結事業者(カード会社、決済代行業者がこれに該当する。以下「カード会社等」という。)は、加盟店のセキュリティ対策の実施状況について、加盟店との加盟店契約締結時において審査を行うこと及び契約締結後において定期的に調査を行うことが義務づけられており、当該調査の結果、問題がある加盟店に対しては、是正指導又は加盟店契約の解除等の措置を講じなければならないとされる(法35条の17の8)。
このように改正割賦販売法により、加盟店及びカード会社等ともに、セキュリティ対策について新たな義務を課されることから、加盟店とカード会社等の加盟店契約においてもその内容を反映させる必要があるが、その際の一般的なモデル契約条項として位置づけられるのが本ガイドラインである。
まず、加盟店におけるカード番号等の適切な管理については、クレジット取引セキュリティ対策協議会が定めた「クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画‐2017‐」(以下「実行計画」という。)に従う限り、加盟店は割賦販売法上の義務を満たすことになるとされる(モデル契約条項第c条2項)。もっとも、実行計画においても、第一の対策としてカード番号等の非保持化を基本とした取組を推進しつつ、カード番号等を保持する場合にはPCIDSS[1]への準拠を求めるなど具体的な措置については加盟店に裁量が残されているため、加盟店契約において、加盟店が講じるべき具体的な措置を特定しておくことが肝要である(同第c条3項)。なお、改正割賦販売法は特定の手法を用いることまでを加盟店に対して義務付けている訳ではないことから、実行計画に掲げられた措置とは異なる内容であっても、同等の実効性を有するものであれば、割賦販売法上の義務を満たす方法として認められることになる(同第c条2項)。
次に、加盟店における不正使用の防止のために必要な措置については、カードの有効性を確認することと、カード名義人とカードの提示等をした者との同一性を確認することが不可欠とされる(同第F条)。そして、ICカードによる対面取引の場合には、実行計画に従い、前者については、IC対応端末により対応するものとし、後者については、暗証番号の入力によるのが基本とされる。一方で、非対面取引については、実行計画に複数の措置(例えば、3Dセキュア、券面認証(セキュリティーコード)等)が例示されていることも踏まえ、加盟店のリスクに応じた多面的・重層的な措置を取ることとされている。
これらは改正割賦販売法上加盟店に課された義務に対応するものであるが、カード会社においても、加盟店のセキュリティ対策の実施状況について調査義務を負い(同第I条)、また、問題がある場合には、是正指導(同第J条)又は加盟店契約の解除(同第K条)等の措置を講じなければならないことから、カード会社にとっても理解が不可欠な事項である。
クレジットカードの不正利用による被害は近年増加傾向にあるが、諸外国に比べ対策が遅れれば、我が国がセキュリティホールと化し、不正使用被害が国境を超えて流入するリスクが高まる。加盟店及びカード会社においては早急に対応が求められる。
経済産業省「クレジットカードの安全・安心な利用環境の整備に向けて」2頁
[1] Payment Card Industry Data Security Standard。国際カードブランド5社(American Express、Discover、JCB、MasterCard、VISA)が共同で設立したPCI SSC(Payment Card Industry Security Standards Council)によって策定、運用、管理される、加盟店やサービスプロバイダにおいて、クレジットカード会員データを安全に取り扱うことを目的としたセキュリティ基準のことをいう。