| FAQ |
|
1.改正割賦販売法について ①割賦販売法とはどのような法律ですか。 「かっぷはんばいほう」と読み、クレジットに関する法律です。従来はクレジット会社の義務を主に規定しておりましたが、平成28年12月に改正され、クレジットカードが使える加盟店の義務についても規定が設けられました。 ②なぜ改正されたのですか。 加盟店に対する義務が追加された改正については、近年加盟店におけるクレジットカード番号等の漏えい事件や不正使用被害が増加しているからです。安全・安心なクレジットカード利用環境を実現するために改正されました。 ③加盟店に課された義務にはどのようなものがありますか。 大きく分けて「クレジットカード番号等の適切な管理」と「不正使用の防止」の二つの義務が課せられました。 また、加盟店契約を締結しているクレジット会社は、加盟店調査(悪質加盟店の是正・排除、クレジットカード番号等の適切な管理、不正使用の防止)を行い、調査結果に基づいた必要な措置を行うこと等が新たに義務付けられました。 ④加盟店の義務には罰則はありますか。 罰則はありません。ただし、義務を果たさない場合は、クレジットカード会社から義務を果たすよう要請があり、この要請に応じない場合は加盟店契約を打ち切られることがあります。また、行政からは立入検査等の処分がされる可能性があります。 ⑤法改正について、問合せはどこに行えばよいですか。 個別の契約に基づく内容については、加盟店契約を締結したクレジットカード会社にお問合せください。また、割賦販売法の改正一般については経済産業省商取引監督課にお問合せください。 2.加盟店が取り組まなければならないこと ①加盟店が取り組まなければならないことは何ですか。 課せられた二つの義務のうち、一つ目の「クレジットカード番号等の適切な管理」については、カード番号等の非保持化(非保持化と同等/相当のセキュリティ措置を含みます。)、非保持化ができない場合はセキュリティに関する国際規格であるPCIDSSに準拠する必要があります。 二つ目の、「不正使用の防止」については、クレジット決済端末を用いている加盟店についてはIC対応が必要です。また、EC加盟店については、ネット上でのなりすまし防止対策が必要です。 ②なぜ「クレジットカード番号等の適切な管理」においては、非保持化か、PCIDSSへの準拠が必要なのですか。 クレジットカード番号等の適切な管理をするにあたり、そもそもカード番号等を持っていない場合(非保持)は、漏えいする心配はありませんので一番安全です。しかし、営業の都合等でカード番号等を持たなければならない場合は、厳密な管理が必要です。このためカード番号等を保持する場合は、セキュリティに関する国際規格であるPCIDSSに準拠する必要があります。 なお、自社開発のシステム(POS等)においては、意図せずにカード情報を持っていることがあるため、注意が必要です。必ずシステムを開発した会社等に問合せて対応してください。 ③「クレジットカード番号等の適切な管理」および「不正使用の防止」について、どのような対策が必要になりますか。 具体的な対策はクレジット取引セキュリティ対策協議会が取りまとめた実行計画2017に記載されていますが、主な対策は以下のとおりです。なお、実行計画2017は次のURLを参照してください。 http://www.j-credit.or.jp/security/pdf/plan_2017.pdf 決済専用端末(CCT)を設置している加盟店 カード会社より貸与されているICカードに対応した決済専用端末(カードをスワイプするのではなく差し込んでデータを読み取り、暗証番号を入力する方式)を設置し、外部の情報処理センター等に直接伝送している場合には、カード情報保護対策も不正使用対策(偽造防止対策)もすでに対応が済んでいますので、新たな対応は必要ありません。ご不明な点があれば、契約先のカード会社にご確認ください。 一方、ICカードが読み取れない端末であれば、ICカードが読み取れる端末への置換えが必要です。 POSシステムと端末間で、取引金額、決済結果等を連動させている加盟店 カード情報保護については、非保持化あるいはPCIDSS準拠が必要です。 ICカードに対応した決済端末(暗証番号の入力方式)が設置されていれば、不正使用対策(偽造防止対策)はすでに対応が済んでいますので、新たな対応は必要ありません。 一方、ICカードに対応していない端末であれば、ICカードに対応した端末への置換えが必要です。 ご不明な点は、POS機器メーカーにご照会ください。 カード処理機能を持ったPOSを設置している加盟店 カード情報保護については、非保持化又はPCIDSS準拠が必要です。 ICカードに対応したPOS(暗証番号を入力する方式)が設置されていれば、不正使用対策(偽造防止対策)はすでに対応が済んでいますので、新たな不正使用対策(偽造防止対策)は必要ありません。 一方、ICカードに対応していないPOS(スワイプして磁気で読み取る方式)であれば、ICカードに対応したPOSに置換えを行うか、ICカードに対応した決済端末を導入しPOSに接続する必要があります。 ご不明な点は、POS機器メーカーにご照会ください。 EC(ネット取引)加盟店 カード情報保護については、非保持化又はPCIDSS準拠が必要です。 EC加盟店において、決済代行業者(PSP)が提供するシステムを利用する場合があります。この場合、加盟店の機器・ネットワークを通過する「通過型」と、通過しない「非通過型」に大別されますが、通過型の場合には、カード情報を窃取されるリスクがあるので、「非通過型」を推奨しております。どちらの仕組みを導入しているかについては、契約先の決済代行業者にご確認ください。なお、「通過型」の場合には、カード情報を保持することになりますので、EC加盟店においてPCIDSS準拠が必要です。 なりすましによる不正使用防止のため、パスワードの入力等により本人が利用していることを確認できる仕組みや申込者の過去の取引情報などから不正な取引かどうかを判定する手法の導入等、各加盟店の業種・取扱商材、リスクの状況に応じて、多面的・重層的な不正使用対策をする必要があります。 ④なぜ不正使用対策としてICカードへの対応をするのですか。 現在の技術ではICカードを複製することはほぼ不可能です。このため、偽造カードによる不正使用を防止するため、カードのIC化を進めるとともに、カード決済する端末側もIC対応を進める必要があります。 ⑤すでにICカードに対応しているかは何を確認すればよいですか。 カードを差し込んで暗証番号を入力する方式の場合はICカードに対応しています。カードをスワイプして読み取る方式はIC決済端末ではありません。 ⑥ICカード対応で、決済時の対応は何か変わりますか。 「クレジット決済端末に磁気カードをスワイプし、売上伝票に印字された金額を確認し、サイン(署名)する」方式から、「IC対応のクレジット決済端末にICカードを差し込み、表示された金額を確認し、暗証番号4桁を入力し最後に確定ボタンを押す」方式にかわります。詳しくは次のURLをご確認ください。 http://www.j-credit.or.jp/security/pdf/ic_card.pdf なお、食品売場などで実施しているサインレス取引においては、IC対応することにより暗証番号の入力を例外的に省略できる場合がありますので、契約するクレジットカード会社にお問合せください。 ⑦暗証番号を失念したお客様へはどのように対応したらよいのでしょうか。 お客様が暗証番号を失念した場合は、ICカード取引においてもサインで取引をすることができます。ただし、セキュリティ上より強固である暗証番号入力をバイパスするため、例外的対応あり、濫用することはできません。 ⑧EC加盟店(ネット加盟店)において、なぜなりすまし対策が必要になるのですか。 近年、漏えいしたクレジットカード情報を利用したなりすまし等による不正使用被害が急増しているからです。対応については上記③EC(ネット)加盟店を参照してください。 ⑨複数のクレジットカード会社より漏えい対策・不正使用対策依頼の通知が来ました。どうすればよいですか。 クレジットカード会社は「クレジットカード番号等の適切な管理」「不正使用の防止」について加盟店に対して通知等をする必要があるため、複数のクレジットカード会社と契約をしている加盟店には各クレジットカード会社から通知等がそれぞれ行く場合があります。各クレジットカード会社から、対応状況等の回答を求められた場合等は、クレジットカード会社に調査する義務が法令上あるため、ご面倒でも、すべてにご回答ください。 ⑩いつまでに対応しなければなりませんか。 改正割賦販売法が施行されるのは2018年5月〜6月ですので、この期日が基本となります。なお、クレジット取引セキュリティ対策協議会が取りまとめた実行計画2017では、EC加盟店は2018年3月末まで、店舗加盟店は2020年3月までとなっていますので、遅くともこの期限までには対応することが求められています。 ※FAQは分かりやすさを重視し編集しているため、一部例外的事項がある場合があります。 |
|
|
