割賦販売法改定におけるEC事業者の対策とは!?
2016年12月、増加を続けるクレジットカードの情報漏洩や不正使用を受けて、特定商取引法とともにクレジットカード取引に関する割賦販売法の改正が公布されました。この改正によってクレジットカードを採用しているEC事業者は2018年3月までに具体的な対策をしなければ、クレジットカードが利用できなくなってしまう可能性があります。
今回はEC事業者が割賦販売法の改正に伴い必要な処置や重要なポイントについて説明します。EC事業者は無視できない内容になっております!ぜひご覧ください。
そもそも割賦販売とは?
売買代金の支払いを分割して支払うことを条件とした販売方式です。ちなみに「割賦」という言葉は。分割の「割」と月賦の「賦」をあわせて割賦という言葉が生まれました。
ただ月賦に限らず、支払間隔に応じて週賦・旬賦・月賦・年賦などの方法があり、消費者信用のうちの販売信用の一つとなります。このようなことを大まかに割賦販売と呼んでいます。先に代金を支払う前払い式と、あとから代金を支払う方式があります。
では割賦販売法とは?
割賦販売法とはクレジット取引等を対象に事業者が守るべきルールを定めるものであり、
-
@ 購入者等の利益を保護すること
-
A 割賦販売等に係る取引を公正にすること
-
B 商品等の流通、役務の提供を円滑にすること
上記3点を主な目的としています。
ではなぜ法律で消費者保護ルールを設ける必要があるのでしょうか?
理由としては割賦販売だと初回の支払いが少額のため、勧誘に対する消費者の抵抗が少ない、後払いなどは支払総額が消費者に見えにくい、消費者は販売店やクレジット会社とそれぞれ別の契約を結ぶなどのことから、消費者とのトラブルが起こりやすいからです。
割賦販売法の主な改正について
クレジットカードを採用しているECサイトは、クレジットカードの安全な利用を守るために割賦販売法改正の実行計画のもと以下のような対策をする必要があります。
クレジットカード情報の適切な管理
加盟店に対し、クレジットカード番号等の情報管理や、⾃らの委託先に情報管理に関わる指導等を⾏うことを義務け、加盟店に対しクレジットカード端末のIC対応化などによる不正使⽤対策を義務付ける。
加盟店の管理の強化
加盟店に対しクレジットカード番号等を取り扱うことを認める契約を締結する。事業者については登録制度を創設するとともに、当該加盟店への調査を義務付ける。
フィンテックの更なる参入を見据えた環境整備
加盟店契約会社と同等の位置付けにある決済代⾏業者(FinTech企業等)にも加盟店契約会社と同⼀の登録制を導⼊。加盟店のカード利⽤時の書⾯交付義務を緩和。
ECサイトのセキュリティを強化しろということはわかりますが、実際何をすれば良いのかわかりづらいですよね・・・?簡単に言うとECサイトなどはインターネット経由で取引されるため、クレジットカード情報などが漏洩したり不正を見抜きにくかったりするので、EC事業者や決済代行会社はセキュリティを強化しましょう。ということです。
では割賦販売法の改正によってECサイト運営事業者はどのように対応すれば良いのでしょうか?
EC事業者はどのように対応すれば良いのか?
まず最初に「PCI DSSに準拠する」もしくは、「カード情報の非保持化をする」どちらかの対応が必要となります。
PCI DSSに準拠する
もしクレジットカード情報を社内で保存、処理、伝送する場合は、PCI DSSに準拠する必要があります。
PCI DSSに準拠するには認定された審査機関による訪問審査があり、さらに外部に接しているネットワークシステム(サーバ機器、ネットワーク機器、アプリケーションなど)の脆弱性スキャンを行い、PCI DSSで要求されている高水準のセキュリティ基準を満たしているかということをチェックし準拠することができます。
ですがEC事業者側で準拠するとなると、システム投資や人件費など非常に大きなコストがかかる可能性があり、あまり現実的ではございません。
原段階での対策として多いのが、これから説明する「カード情報の非保持化」での対応が多いと思われます。
カード情報の非保持化をする
PCI DSSに準拠する方法の他に、カード情報を非保持・非通過する方法もあります。これはECサイトにクレジットカードの情報を持たないということです。正確にいうとクレジットカード情報をECサイトに通過させない、処理しない、保存しない。という方法です。現段階で非保持・非通過が可能な決済方法としては以下の2つのパターンの対策で非保持化が可能になります。
ではこの2パターンは具体的にどのような決済方法なのでしょうか?
■トークン型(JavaScript型)決済
トークン形式でカード決済を実行する方式で、JavaScriptを利用してカード情報をPSP(Payment Service Provider)へ送信する方法です。ECサイトで購入者が入力するカード番号を別の文字列に置き換えます。カード情報は別の文字列としてECサイトを通過するため、カード情報がECサイト側のサーバで「通過、処理、保存」されないため、非保持・非通過の対応が可能になります。
■リンクタイプ型決済
ECサイトからPSP(Payment Service Provider)の画面へ遷移させる方式です。PSPの提供する決済画面を表示させ、PSP側で決済処理を行うため、ECサイトにてカード情報を「通過、処理、保存」されないため、非保持・非通過の対応が可能になります。
PSPの画面のデザインが違すぎると信頼性にかけるという懸念もありますが、こちらにはロゴや文言の修正が出来るようになっています。
ちなみにこのリンクタイプの決済画面に関しては、HTML/CSS、PHPの知識があればカスタマイズも可能になります。
トークン型とリンク型の違いとは
トークン型とリンク型は決済の完了のタイミングが違います。
トークン型
自社サイト内で決済が完了します。
リンク型
画面遷移後に決済が完了します。
こちらはECサイトのシステム側も必要になるため、導入をしているECシステムベンダーにも相談してみましょう。
まず一つめの対応としてはご紹介したPCI DSSに準拠するか、カード情報の非保持・非通過化を行わなければいけません。自社のECサイトがどちらか対応しているか?確認してみましょう。
どちらかに対応していたら、次は以下のような不正使用対策を2つ以上実施する必要があります。
不正使用対策とは?
カード情報非保持化の他に、上記のような不正使用対策を2つ以上実施する必要があります。
現状対策として一番多いのが、本人認証(3Dセキュア)と券面認証(セキュリティコード)で不正使用対策を行っているEC事業者が多いです。
3Dセキュアとは?
カード番号・有効期限以外にカード会社が利用者に発行する インターネット専用のID・パスワードを利用者が決済時に 入力しカード決済を行う仕組みです。導入することでなりすましによる不正利用が軽減され、利用者に安心感を与えることができます。
セキュリティコードとは?
クレジットカード裏面に記載されている下3桁(又は4桁)の数字で、利用者の手元にクレジットカードがあることを確認することができ、偽造カード番号による不正利用が軽減されます。
属性・行動分析や配送先情報などは特別なツールなどを導入する必要があるため、上記の「3Dセキュア」、「セキュリティコード」の2つの対策を行っているEC事業者様が多いです。
EC事業者の対応まとめ
2018年3月までにEC事業者に求められる対応をまとめると、上記となります。PCI DSSに準拠するか、カード情報の非保持化(トークン型かリンク型)に対応する。そして不正使用対策を2つ以上の実行が必要となります。
ECサイトのセキュリティを見直す
御社の状況はいかがでしょうか?ぜひこの割賦販売法改定のタイミングで自社のECサイトのセキュリティ対応を見直してみてください。2017年は特にECサイトにおけるクレジットカード情報を含む個人情報の漏えい事故が多発しております。顔が見えないECサイトだからこそ、お客様に安心してお買いものを楽しんでいただけるECサイト運営を行なっていきましょう。
「ecbeing」はPCI DSS (※1) にも準拠、トークン決済の両方に対応しており、導入によりEC事業者は経済産業省からの要請に対応し個別カスタマイズを実現。高水準のセキュリティレベルを維持することが出来ます。ecbeingは引き続きセキュリティ向上への取り組みを行い、ECサイト構築パッケージ導入実績1の責任を果たしていくと同時に、安心安全なサービスの提供を行なっていきます。
※1 2017年4月時点 該当サービスはオプションによるご提供です。