割賦販売法改正におけるクレジットカードの不正利用対策とは
皆さんは割賦販売法をご存知でしょうか?簡単に言うと、割賦販売法はクレジットカードでの取引ルールを定めた法律です。
今回は、2018年割賦販売法改正により、クレジットカードの不正利用への対策の規制が強化されたことを受け、EC事業者に求められた対応とその意味についてを掘り下げていきます。
はじめに 割賦販売法とは?
割賦販売とはそもそも何でしょうか?割賦販売とは料金の一部、または全部を2ヶ月以上にわたって分割払いする販売方式の事です。ちなみに1ヶ月の1回支払い場合は月賦、週1回の場合は週賦など様々に分類できます。また、割賦販売には後払い方式と前払い方式があります。後払い方式とは名前の通り、購入者が商品を受け取った後に代金を分割で支払う方式です。一方で前払い方式とは、購入者が予め分割で代金を支払い、一定の金額に達したタイミングで商品・サービスを受け取る事ができる方式です。
1961年、割賦販売に関して割賦販売法が制定されました。想像に難くないかもしれませんが、後払い、前払いどちらのケースでも購入者販売者間のトラブルが絶えなかったのです。
ここまでの話だけですと、クレジットカード決済と何の関係もない様に思われるかもしれませんが、後に割賦販売法は信用販売全般に対応できるよう改正されました。そして2018年6月、冒頭で話しました通り、相次ぐクレジットカード不正使用への対策として、さらに規制が強化されたのです。
実行計画の3つのポイント
2016年2月23日、クレジット取引セキュリティ対策協議会が「クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画」を発表しました。この実行計画は割賦販売法の改正を受けて、関連事業者が行う具体的指針について発表したものになります。ハイレベルなセキュリティ機能を保持したクレジットカードの決済環境を整備する取り組みとして、この発表に伴い、EC事業者は特定の対策を講じることになります。
1. カード情報の漏えい対策
EC事業者にカード情報の「非保持化」と、保持している事業者はPCIDSS(国際カードブランド5社で策定したグローバルセキュリティ基準)に準拠することが求められます。
2. 偽造カードを使わせない
クレジットカード並びに決済端末の完全IC化を実現させます。
3. ECにおける不正使用対策
ネット上でのなりすまし、不正使用対策の導入。
オンラインショップを運営する加盟店において何を行う必要があるのか、ここからはまとめております。
対策①:カード情報の非保持化
法改正により、クレジットカード情報の非保持化が課せられ、対策が必要となりました。特にEC事業者はやらなければいけない対策です。
EC事業者の決済システムは「通過型」と「非通知型」の二種類に分類できます。通過型とは、EC事業者の所有する機器やネットワークにクレジットカード情報が通過、処理されるシステムの事です。例えば、コールセンターでカード情報変更のお問い合わせがあり、そのままスタッフの方がカード情報を自社端末に入力して登録する方法は通過式です。一方で、非通過型とは、決済代行会社の所有する機器やネットワークをカード情報が通過し、処理される方式です。
今回割販法の改正で規制の対象となったのは通過型のシステムです。一般の事業者ですとセキュリティ対策が万全である保証がなく、情報漏洩のリスクが高い為です。では、決済代行会社はなぜカード情報を自社端末、ネットワークで扱う事ができるのでしょうか?それはPCI DSSという資格を保有しているからです。「PCI DSS」とは、Visa 、MasterCard、JCB、American Express、Discoverの国際カードブランド5社によって指定されたセキュリティ基準です。
決済代行会社同様のPCI DSSの取得、保持という選択肢もありますが、高額な費用がかかるので、特別な理由がない場合は「非通過型」システムの利用、あるいは決済代行会社がレンタルしているタブレット端末などを情報入力用に利用することになります。
対策②:不正使用対策としてセキュリティコード、3Dセキュアの導入
■セキュリティコード
セキュリティコードとは、クレジットカードの不正利用を防ぐために、カード裏面または表面に記載されている3桁または4桁の数字のことです。このセキュリティコードは、オンラインショッピングなどでクレジットカード決済を行う際に、カード所有者本人が利用していることを確認するための重要な役割を果たします。
セキュリティコードは、クレジットカードの磁気ストライプやICチップに記録されていないため、カード情報が盗まれた場合でも、セキュリティコードを知らない第三者による不正利用を防ぐことができます。
■3Dセキュア
3Dセキュアとは、インターネット上でのクレジットカード決済の際に、不正利用を防ぐために導入されている本人認証サービスのことです。
クレジットカード情報の入力に加えて、カード会社に登録したパスワードやワンタイムパスワードなどを入力することで本人認証を行います。これにより、第三者が不正にカード情報を入手しても、パスワードを知らない限り決済ができないため、不正利用を防止することができます。
対策③:属性・行動分析データや配送先情報の活用
■属性・行動分析
決済時に使用した端末やネット接続場所などから、過去の利用実績などの確認、その他不正使用ケースのデータ分析を通し、不正使用を検知するセキュリティ対策方法があります。
■配送先情報
特に物販商材においては、電話番号、住所など過去の不正配送先情報の活用により、状況に応じて商品の配送を事前に停止することにより被害を防ぐことが可能です。
決済・代金回収の効率化は「サブスクペイ」にお任せ!
オンライン決済に特化した「サブスクペイ Standard」と顧客管理から自動決済まで行える「サブスクペイ Professional」があります。 導入から運用までフルサポートを行い、お客様の事業成長に貢献します。
●使用可能な決済手段
Visa/Master Card/JCB/American Express/Diners Clubなどのクレジットカード決済のほか、口座振替、銀行振込(バーチャル口座)、コンビニ決済などに幅広く対応しています。
●継続課金システム
業界最高水準の継続課金システムは、毎月の決済情報の送信作業や未入金の回収作業などからご担当者様を解放します。課金周期・課金回数・課金日の指定など、顧客に合わせた柔軟な課金モデルの設計が可能です。
●顧客管理機能
決済連動の顧客管理データベースで、顧客属性・行動情報・売上予測を見える化。単価アップや解約防止のほか、ネクストアクションの策定・投資判断などにお役立ていただけます。
●業界最安水準の手数料
業界最安水準のクレジットカード決済手数料2.5%~、口座振替決済手数料85円。顧客管理と決済処理をひとつのクラウドに集約することで間接費の削減を実現。
●導入日数
口座振替の導入は最短3営業日、クレジットカード決済の導入は最短5営業日で実現します。
●導入実績
サブスクペイは大手から中小企業、個人事業主まで累計14,000社以上の導入実績があり、年間2,150億円以上の取引に活用されています。
●セキュリティ
【PCI DSS 4.0(Payment Card Industry Security Standard)】クレジットカード業界におけるグローバルセキュリティ基準に準拠した、システム・管理体制によって業務を運用しております。
【プライバシーマーク】当社は、財団法人日本情報処理開発協会よりプライバシーマークの付与認定を受け、個人情報の保護に努めております。
【ISMS認証】ISMS:JIS Q 27001:2014 (ISO/IEC 27001:2013) 認証を取得し、情報セキュリティマネジメントシステムを構築しております。
サブスクの決済を自動化したい、オンライン決済の導入を検討中というご担当者様は、当社までお気軽にお問い合わせください。
