クレジットカード情報の非保持化

前回の「通販サイトのクレジットカード情報流出と巻き込まれた時にすべきこと」の関連として、今日はカード情報の非保持化の話です。

通販サイトの決済手段として、以下のようなものが多く用意されています。

・クレジットカードによる支払い
・銀行振込
・コンビニ・後払い決済
・代引き
・キャリア決済

その他、通販サイト独自に割賦払いやいわゆるツケがありますが、メインの決済手段としてよくみられるのは上記かと思います。

昨今の不正アクセスによる個人情報の流失と、それに伴うクレジットカードの不正利用に関連して今年2018年6月1日にある法律が施行されています。

割賦販売法の一部を改正する法律(平成28年12月に成立/平成30年6月1日施行) ※リンク先は経済産業省の「割賦販売法令関係資料」のページです

この改正割賦販売法により、クレジットカードを取り扱う各加盟店つまり店側で、カード番号等の適切な管理や不正使用対策を講じることが義務づけとなりました。

・カード情報の漏えい対策のため、原則として「カード情報の非保持化」をする。
・実店舗の場合は、偽造防止対策としてICカードによる決済ができる端末を設置する。
・インターネットでの通販サイトは、なりすましによる不正使用を防止するための対策をとる。

クレジットカード会社からも各加盟店向けに事前にお知らせが出ていました。例えば、以下はJCBで、昨年の2017年5月17日にリリースされています。

割賦販売法の改正に関するお知らせ

原則として「カード情報の非保持化」とありますが、カード番号等の情報を絶対に保持してはいけないというわけではなく、条件がついています。カード情報セキュリティの国際基準に「PCI DSS」、Payment Card Industry Data Security Standardの頭文字をとったものですが、これに準拠するようとされています。

なお「PCIDSS」については、日本カード情報セキュリティ協議会のウェブサイトに詳しい説明が載っています。

PCI DSSとは(日本カード情報セキュリティ協議会)

インターネット等技術の変化の早さや、セキュリティ対策の費用や手間を考えるとカード情報は持たないが一番よいでしょう。(むしろ持つ意味が個人的には判りません。顧客も会社もリスクがあるのに。持つ理由を聞きたい。)

クレジット取引セキュリティ対策協議会では、クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画を毎年公表しています。最新版は2018年3月に出ました。

クレジットカードショッピング信用供与額も、支払い決済手段としてクレジットカードが使われることも、右肩上がりです。
ネット通販が一般的になり、クレジットカード不正使用被害額は2012年まで減少していたものの、2013年から再び増加しています。

背景にはインターネットでの通販の利用増があること、そしてその分リスクがあることと言えるでしょう。

普段の買い物でもクレジットカードを使う機会が増えてきたと感じている方は多いと思います。私も海外ではレンタカーを借りる際や宿泊施設の予約のデポジットとしてクレジットカードが必要ということもあって、ずいぶん長くクレジットカードは持っていますが、日本国内でのスーパーマーケットで少額のクレジットカードの利用が始まった当初、使うと「えっ」という顔をされることもありましたが、今はレジで当たり前のように決済手段として使っています。

策を講じるのは企業や商店ですが、消費者側もこの手の情報に敏感になっておいて損はないと思います。

クレジット取引セキュリティ対策協議会の

クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画
－２０１８(PDF)

結構判りやすくまとめられているのでご興味のあるかたはどうぞ。

また、クレジットカード情報流出の絶対の対応策というわけではありませんが、利用者側としてできることは前回まとめましたので、そちらもよろしければ。

昨日書き洩らしましたが、アサヒ軽金属工業通販サイト利用者のクレジットカード情報流出については、PCI DSSを専門領域とされているキタきつねさんのblogがプロ視点でさすがに詳しいです。

アサヒ軽金属のカード情報漏えい事件(Fox on Security) 2018年8月3日

アサヒ軽金属のカード情報漏えい事件 - Fox on Security

本日はこれにて。

(了)

ヘッダー写真 撮影地 ニュージーランド Wanaka ©moya