2010年12月14日8:00
改正割賦販売法で「クレジットカード番号等」の保護を規定
イシュア、アクワイアラにも適切な管理を求める
改正割賦販売法は2010年12月17日、「過剰与信の防止」に関する記録保存や行政処分等の規定が盛り込まれ、完全施行される。同法では「クレジットカード番号などの保護」に関しても規定されており、イシュア、アクワイアラに加盟店やその委託先に対し、カード情報の安全管理義務を課すなどしている。経済産業省 商務情報政策局商務流通グループ 取引信用課 課長補佐 相川祐太氏にクレジットカード番号などの保護について説明してもらった。
2009年に第一段階施行し、本年12月17日に完全施行を予定
インターネットを含め情報漏洩抑止のための措置を規定
今般、割賦販売法は「悪質商法を防止する与信の実施」「過剰与信の防止」「規制範囲の拡大」「クレジットカード情報の保護」などの観点から改正がなされ、2009年12月に施行となりました。このうち、過剰与信の防止に関しては12月17日に完全施行される予定になっています。
市場全体のクレジットカードの不正利用被害に関しては、2001年の刑法改正で偽造カード不正作出罪が規定されたことや、ICカードの浸透などにより、減少傾向にあります。しかし、インターネット決済については、クレジットカード番号と有効期限の情報を入力すれば決済が簡単に行えることが多いため、不正利用が大きな問題となっています。この点、SQLインジェクションなどの手口による被害などにより、ECサイトのデータベースからカード会員情報が流出する事件が後を絶たない状況です。
刑法では「支払い用カード電磁的記録に関する罪」において、磁気情報の取得に関する罰則はありますが、カード番号や有効期限は対象外となっています。また、「不正アクセス行為の禁止等に関する法律」で不正アクセスは禁止されていますが、「1年以下の懲役または50万円以下の罰金」と必要最小限の罰則に留まっています。
「個人情報の保護に関する法律」でも個人情報を漏洩した個人に対する規定は存在しておらず、クレジットカード情報のままでは個人情報にすら通常は該当しません。そういった問題を踏まえ、今回、割賦販売法を改正、施行しました。
クレジットカード情報の保護に関しての改正項目の1つとして、クレジットカード番号等の適切な管理に関する規定が、法第35条の16で設けられました。これは、クレジットカード番号等の漏洩事故の発生を抑止するために、クレジットカード会社などに対し、適切な管理を義務付けることが盛り込まれています。加えて、法第49条の2において、クレジットカード番号等の不正提供・不正取得をした者、人を欺いてそれらの情報を提供させた者などを刑事罰の対象としています。この規定によって、疑似サイトをつくってカード番号を入手するいわゆる「フィッシング」詐欺に関してもフィッシングの段階で刑事罰の対象となります。
不正利用目的のクレジットカード番号等の漏洩、窃取等の禁止
事業者による予防措置と罰則を設ける
クレジットカード番号等の適切な管理の中で、イシュア、アクワイアラからクレジットカード番号等保有者に対する指導としては、例えば漏洩などの事故が発生したときはその状況を連絡すべき旨を通知すること、漏洩などの事故が発生したときは再発防止策に関し指導を行う旨を通知することが加盟店に対する事前措置として義務付けられています。また加盟店の委託先に対しても加盟店を通じて指導していただくことになっています。事後の措置に関してもイシュア、アクワイアラは再発防止策に対して指導を行うことになっています。イシュアとアクワイアラの措置の違いとしては、イシュアには上記に加え、不正検知システムなどにより不正利用防止策を実施することを求めています。
また、イシュア、アクワイアラの講ずる措置が経済産業省令(施行規則第132条、133条)で定める基準に適合していないと認められるときは、当該クレジットカード会社に対し、改善命令を発令することができます(法第35条の17)。
不正利用目的のクレジットカード番号等の漏洩、窃取等の禁止(法第49条の2)に関しては、3年以下の懲役または50万円以下の罰金が科せられます。
