割賦販売法改正に伴うカード不正使用対策の取り組みについて
「割賦販売法の一部を改正する法律」(「改正割賦販売法」)が平成30年6月1日に施行され、
カード番号等の適切な管理や不正使用対策を講じることが義務づけられることになりました。
セキュリティ対策の指針となる「 クレジットカード・セキュリティガイドライン
」では以下の対応が求められており、
このページでは販売形態別(対面取り引きの加盟店様、EC加盟店様)に具体的な対策についてご案内しております。
ご一読いただき、ご確認・ご協力をお願いいたします。
クレジットカードを取り扱う加盟店にご対応いただくこと
- カード情報保護について適切な保護措置をとること(非保持化又はPCIDSS準拠)
- 不正使用対策として、対面加盟店ではICカード決済が可能な端末を設置し、
EC(ネット取引)加盟店では、なりすましによる不正使用防止対策をとること
非保持化とは
電磁的に送受信しないこと、すなわち自社で保有する機器・ネットワークにおいて「カード情報」を電磁的情報として
『保存』、『処理』、『通過』しないこと」をいいます。
なお、決済専用端末から直接、外部の情報処理センター等にカード情報を伝送している場合は、非保持とします。
PCIDSS(Payment Card Industry Data Security Standard)とは
クレジットカード会員データを安全に取り扱う事を目的として策定された国際ブランドが策定した基準です。
(下記の日本カード情報セキュリティ協議会のホームページ参照)。
販売形態別ご対応事項
店頭でのカード取り扱い時、暗証番号(PIN)入力をスキップしサインにて本人認証を行う「PINバイパス」は2025年3月をもって原則廃止となります。暗証番号入力による取り引きの徹底につきましてご理解を賜りますようお願いいたします。
- 視覚等の障害等によりPIN入力が困難である会員様に対しては、「障害者差別解消法」の観点から合理的な配慮が求められます。
- 詳細は下部の「視覚などの障がい等により暗証番号入力が困難なお客さまへのご対応について」を参照ください。
決済専用端末(CCT)を単独で設置している加盟店様
- CCT・・・据え置き型端末、モバイル端末等
ICカード読み取り不可端末
暗証番号を入力する方式のICカード読み取り可能端末への置き換えが必要です。
暗証番号を入力する方式のICカード読み取り可能端末
漏洩対策・不正利用対策が完了しておりますので新たな対応は不要です。
- ただし、自社システム等でカード番号等を保持している場合は、非保持化またはPCIDSSに準拠する必要があります。
ICカード読み取り不可端末暗証番号を入力する方式のICカード読み取り可能端末への置き換えが
必要です。
POSシステムと端末間で決済情報を連動させている加盟店様
ICカード読み取り不可端末
暗証番号を入力する方式のICカード読み取り可能端末への
置き換えが必要です。
POSシステム等の自社システムでカード番号等を保持している場合
POSシステムの改修、置き換え等を行い、
非保持化またはPCIDSSに準拠する必要があります。
ご不明な点があれば、POS機器メーカーにご照会ください。
暗証番号を入力する方式のICカード読み取り可能端末
漏洩対策・不正利用対策が完了しておりますので新たな対応は不要です。
カード処理機能を持ったPOS端末を設置している加盟店様
ICカード読み取り不可のPOS端末
ICカードに対応したPOS端末に置換えを行うか、
ICカードに対応した決済端末を導入しPOSシステムに接続する
必要があります。
POSシステム等の自社システムでカード番号等を保持している場合
POSシステムの改修、置き換え等を行い、
非保持化またはPCIDSSに準拠する必要があります。
ご不明な点があれば、POS機器メーカーにご照会ください。
暗証番号を入力する方式のICカード読み取り可能のPOS端末
漏洩対策・不正利用対策が完了しておりますので新たな対応は不要です。
視覚などの障がい等により暗証番号入力が困難なお客さまへのご対応について
クレジット取引セキュリティ対策協議会のセキュリティガイドラインに則り、2025年4月1日より、ICカード取引における暗証番号(PIN)入力による本人確認が原則必須となりました。
一方で、「障害者差別解消法」※においては、障がいのあるお客さまが利用に困難を感じる社会的バリアを取り除くこと(合理的配慮)がすべての事業者に求められております。
このため、視覚などの障がい等により暗証番号入力が難しいお客様からお申し出があった場合には、下記のとおりご対応くださいますようお願い申し上げます。
- 障害を理由とする差別の解消の推進に関する法律
- ご対応方法
- 暗証番号入力を求めず、決済端末のPINスキップ機能を利用してください。
- 決済端末に当該機能がない場合は、ボイスオーソリ(電話承認)等の代替手段をご利用ください。
- 本対応は、暗証番号を失念されたお客さまへの救済措置ではありません。
- お客様へのご案内
対象となるお客様には、「暗証番号入力を行わずにクレジットカードをご利用いただける方法がある」旨をご案内ください。
- 禁止事項
店員の方がお客様から暗証番号を聞き取り、代理で入力する行為はセキュリティ上の観点より厳に禁止されていますので、行わないでください。
1. カード情報の非保持化・PCI DSS準拠について
- 導入されいている決済システムにより「非通過型」、「通過型」に大別されますが、どちらを導入しているかはご契約先の決済代行業者にご確認ください。
自社システム等を通過しない決済システムの加盟店様(非通過型)
新たな対応は不要です。
自社システム等を通過する決済システムの加盟店様(通過型)
①自社システム等を通過しない決済システム(非通過型)への切り替え、またはPCIDSSに準拠する必要があります。
②なりすましによる不正使用防止のため、パスワードの入力等により、本人が利用していることを確認できる仕組みや申込者の過去の取引情報などから不正な取引かどうかを判定する手法の導入等、各加盟店の業種・取扱商材、リスクの状況に応じて、多面的・重層的な
不正使用対策をする必要があります。
- セキュリティサービスの導入については、ご契約の決済代行会社へご相談のうえ、ご対応をお願いいたします。
2. 2025年4月以降のセキュリティ対策について
このたび、「クレジッドカード・セキュリティガイドライン【6.0版】に基づき、EC加盟店様へ「EMV 3-Dセキュア」や「脆弱性対策」、「不正ログイン対策」等を講じることが義務付けられています。
詳しくは日本クレジット協会のホームページをご確認ください。 詳細はこちら
| 対策種別 | 対策内容 | 詳細 |
|---|---|---|
| カード番号等の 情報漏洩対策 |
加盟店様が使用しているシステムやWebサイト自体の脆弱性対策の実施 | クレジットカード・セキュリティガイドライン【6.0】 |
| 不正利用対策 | 不正ログイン対策の実施 | |
| EMV 3-Dセキュアの導入 | 【EC加盟店様向け】 本人認証サービス(EMV 3-Dセキュア)導入に関するご対応のお願い |
セキュリティサービス例
本人認証サービス
(3Dセキュア)
クレジットカード情報に加え、会員様が設定された「本人認証パスワード」をご入力いただくことにより、クレジットカード情報の盗用による「なりすまし」などの不正利用を未然に防止します。
セキュリティコード
セキュリティコードとは、カード裏面に印字されている3桁、または4桁の数字を指します。会員様のみがわかるセキュリティコードをご入力いただくことにより、スキミングでクレジットカードが不正利用されることを防止します。
不正検知システムの導入
利用者の入力情報(氏名、クレジットカード番号、メールアドレス等)、利用者のデバイス情報、IPアドレス、過去の取引情報、取引頻度といった情報を多面的に検証することで、不正利用リスクを事前に検知し不正利用を未然に防げる可能性が高まります。
関連ページ
一般社団法人日本クレジット協会ホームページ
改正割賦販売法
本件に関するお問い合わせ先
楽天カード株式会社 加盟店管理センター
092-303-5535
営業時間9:30~17:00(土、日、祝日、年末年始を除く)
- ネット決済システムに関するお問い合わせは、契約先の決済代行会社等にご確認ください。
- POS機器に関してご不明な点があれば、POS機器メーカーにご照会ください。