2020年12月29日16:09
クレジット取引セキュリティ対策協議会は、「クレジットカード・セキュリティガイドライン」において、割賦販売法におけるクレジットカード番号等の適切管理義務の主体であるクレジットカード番号等取扱業者が講ずべき「必要かつ適切な措置」の実務上の指針となるセキュリティ対策を策定している。今回、令和2年第201回通常国会で「割賦販売法の一部を改正する法律(令和2年法律第64号)」が成立し、クレジットカード番号等取扱業者の拡充が行われた。
この法改正を受け協議会の新型決済対応ワーキングにおいて、拡充されたクレジットカード番号等取扱業者が講ずべきセキュリティ対策について、対象事業者の業務実態等についての調査を行い、当該事業者を定義するとともに、講ずべきセキュリティ対策をとりまとめた。
同改正法が令和3年 4月1日より施行となることから、対象事業者においては、速やかにセキュリティ対策の対応に着手し、法律の施行までに対策を講じる必要がある。なお、「ガイドライン」は、令和 3 年 3 月に改定する予定にしている。
新たに追加される事業者は、① 特定のアクワイアラのために加盟店に立替払いをする業務、② 加盟店のためにクレジットカード情報をアクワイアラに提供する、決済代行業者等(法35条の16第1項第4号又は第 7 号該当事業者)となり、EC モール、EC システム提供会社等の業務を含む。
また、① カード会員からカード情報の提供を受けて QR コードや決済用の ID※など対面取引・非対面取引の決済に用いることができる情報と結び付け、カード会員に当該情報を提供する業務、② 上記①の事業者から委託を受けてカード情報を他の決済情報により特定できる状態で管理する業務、を行うコード決済事業者等(法 35 条の 16 第 1 項第 5 号又は第 6 号該当事業者)となる。
講ずべきセキュリティ対策(必要かつ適切な措置)として、「決済代行業者等(4 号、7 号)」及び「コード決済事業者等(5 号、6 号)」に求められる必要かつ適切な措置は、PCI DSS の準拠となる。「決済代行業者等(4 号、7 号)」及び「コード決済事業者等(5 号、6 号)」が、カード情報を取り扱う業務を外部委託する場合は、委託者自身が委託先のセキュリティ状況を確認し、責任を持って PCI DSS 準拠等の必要な対策を求めるとしている。
この記事の著者
ペイメントナビ編集部
カード決済、PCI DSS、ICカード・ポイントカードの啓蒙ポータルサイト
