割賦販売法改正におけるクレジットカードの不正利用対策とは
皆さんは割賦販売法をご存知でしょうか?簡単に言うと、割賦販売法はクレジットカードでの取引ルールを定めた法律です。
今回は、2018年割賦販売法改正により、クレジットカードの不正利用への対策の規制が強化されたことを受け、EC事業者に求められた対応とその意味についてを掘り下げていきます。
はじめに 割賦販売法とは?
割賦販売とはそもそも何でしょうか?割賦販売とは料金の一部、または全部を2ヶ月以上にわたって分割払いする販売方式の事です。ちなみに1ヶ月の1回支払い場合は月賦、週1回の場合は週賦など様々に分類できます。また、割賦販売には後払い方式と前払い方式があります。後払い方式とは名前の通り、購入者が商品を受け取った後に代金を分割で支払う方式です。一方で前払い方式とは、購入者が予め分割で代金を支払い、一定の金額に達したタイミングで商品・サービスを受け取る事ができる方式です。
1961年、割賦販売に関して割賦販売法が制定されました。想像に難くないかもしれませんが、後払い、前払いどちらのケースでも購入者販売者間のトラブルが絶えなかったのです。
ここまでの話だけですと、クレジットカード決済と何の関係もない様に思われるかもしれませんが、後に割賦販売法は信用販売全般に対応できるよう改正されました。そして2018年6月、冒頭で話しました通り、相次ぐクレジットカード不正使用への対策として、さらに規制が強化されたのです。
実行計画の3つのポイント
2016年2月23日、クレジット取引セキュリティ対策協議会が「クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画」を発表しました。この実行計画は割賦販売法の改正を受けて、関連事業者が行う具体的指針について発表したものになります。ハイレベルなセキュリティ機能を保持したクレジットカードの決済環境を整備する取り組みとして、この発表に伴い、EC事業者は特定の対策を講じることになります。
1. カード情報の漏えい対策
EC事業者にカード情報の「非保持化」と、保持している事業者はPCIDSS(国際カードブランド5社で策定したグローバルセキュリティ基準)に準拠することが求められます。
2. 偽造カードを使わせない
クレジットカード並びに決済端末の完全IC化を実現させます。
3. ECにおける不正使用対策
ネット上でのなりすまし、不正使用対策の導入。
オンラインショップを運営する加盟店において何を行う必要があるのか、ここからはまとめております。
対策①:カード情報の非保持化
法改正により、クレジットカード情報の非保持化が課せられ、対策が必要となりました。特にEC事業者はやらなければいけない対策です。
EC事業者の決済システムは「通過型」と「非通知型」の二種類に分類できます。通過型とは、EC事業者の所有する機器やネットワークにクレジットカード情報が通過、処理されるシステムの事です。例えば、コールセンターでカード情報変更のお問い合わせがあり、そのままスタッフの方がカード情報を自社端末に入力して登録する方法は通過式です。一方で、非通過型とは、決済代行会社の所有する機器やネットワークをカード情報が通過し、処理される方式です。
今回割販法の改正で規制の対象となったのは通過型のシステムです。一般の事業者ですとセキュリティ対策が万全である保証がなく、情報漏洩のリスクが高い為です。では、決済代行会社はなぜカード情報を自社端末、ネットワークで扱う事ができるのでしょうか?それはPCI DSSという資格を保有しているからです。「PCI DSS」とは、Visa 、MasterCard、JCB、American Express、Discoverの国際カードブランド5社によって指定されたセキュリティ基準です。
決済代行会社同様のPCI DSSの取得、保持という選択肢もありますが、高額な費用がかかるので、特別な理由がない場合は「非通過型」システムの利用、あるいは決済代行会社がレンタルしているタブレット端末などを情報入力用に利用することになります。
対策②:不正使用対策としてセキュリティコード、3Dセキュアの導入
■セキュリティコード
セキュリティコードとは、クレジットカードの不正利用を防ぐために、カード裏面または表面に記載されている3桁または4桁の数字のことです。このセキュリティコードは、オンラインショッピングなどでクレジットカード決済を行う際に、カード所有者本人が利用していることを確認するための重要な役割を果たします。
セキュリティコードは、クレジットカードの磁気ストライプやICチップに記録されていないため、カード情報が盗まれた場合でも、セキュリティコードを知らない第三者による不正利用を防ぐことができます。
■3Dセキュア2.0
3Dセキュア2.0(EMV 3-Dセキュア)は、ECでのクレジットカード決済において、カード発行会社(イシュアー)が取引リスクに応じて追加認証を行う本人認証サービスです。追加認証が必要な場合はワンタイムパスコードや生体認証等が行われ、リスクが低い場合は追加操作なしで完了することもあります。
なお、「3Dセキュア」はオンライン取引の本人認証(3D認証)の総称として広く使われます。「3D」は、カード発行会社(イシュアー)・加盟店(アクワイアラー)・カードブランド(インターオペラビリティ)の3つのドメイン(領域)が連携して認証を行う仕組みに由来します。
日本クレジット協会が公表するクレジットカード・セキュリティガイドライン【6.0版】では、2025年4月以降、原則として全てのEC加盟店に3Dセキュア2.0(EMV 3-Dセキュア)の導入が求められています(未導入の場合、ガイドライン上の要請を満たさない可能性があります)。
なお、当社のサブスクペイでは2022年から3Dセキュア2.0(EMV 3-Dセキュア)に対応しており、3Dセキュア2.0は標準機能として提供(追加料金0円)しています。各カードブランドの対応状況はカード発行会社等により異なる場合があるため、最新情報は決済代行会社や発行会社の案内もあわせてご確認ください。
3Dセキュア2.0の概要・対応カード・手続きの流れなど、より詳しくは「【2026年版】3Dセキュア2.0はいつから?(EMV 3-Dセキュア)導入のポイントを解説」」もご覧ください。
対策③:属性・行動分析データや配送先情報の活用
■属性・行動分析
決済時に使用した端末やネット接続場所などから、過去の利用実績などの確認、その他不正使用ケースのデータ分析を通し、不正使用を検知するセキュリティ対策方法があります。
■配送先情報
特に物販商材においては、電話番号、住所など過去の不正配送先情報の活用により、状況に応じて商品の配送を事前に停止することにより被害を防ぐことが可能です。
高セキュアな決済サービスは「サブスクペイ」にお任せ!
サブスクペイはPCI DSS 4.0.1に準拠したシステム・管理体制によって業務を運用しております。導入企業様はカード情報を自社で保持することなくクレジットカード決済サービスを導入できるため、セキュリティ対策のコストと負担を大幅に軽減できます。
SSL/TLSはインターネット上での暗号化通信のシステムを利用して、不正アクセスからお客様の情報を守る通信技術です。サブスクペイでは、導入企業様からの接続ではTLS 1.3に対応しており、最新の暗号化方式で安全にご利用いただけます。
サブスクペイでは2022年から3Dセキュア2.0(EMV 3-Dセキュア)に対応しており、3Dセキュア2.0は標準機能として提供(追加料金0円)しています。
高セキュアなクレジットカード決済サービスの導入を検討中の方は、サブスクペイまでお気軽にお問い合わせください。
