割賦販売法改正に伴うカード不正使用対策の取り組みについて

「割賦販売法の一部を改正する法律」(「改正割賦販売法」)が平成30年6月1日に施行され、
カード番号等の適切な管理や不正使用対策を講じることが義務づけられることになりました。
セキュリティ対策の指針となる「 クレジットカード・セキュリティガイドライン 」では以下の対応が求められており、
このページでは販売形態別(対面取り引きの加盟店様、EC加盟店様)に具体的な対策についてご案内しております。
ご一読いただき、ご確認・ご協力をお願いいたします。

クレジットカードを取り扱う加盟店にご対応いただくこと

  • カード情報保護について適切な保護措置をとること(非保持化又はPCIDSS準拠)
  • 不正使用対策として、対面加盟店ではICカード決済が可能な端末を設置し、
    EC(ネット取引)加盟店では、なりすましによる不正使用防止対策をとること

非保持化とは

電磁的に送受信しないこと、すなわち自社で保有する機器・ネットワークにおいて「カード情報」を電磁的情報として
『保存』、『処理』、『通過』しないこと」をいいます。
なお、決済専用端末から直接、外部の情報処理センター等にカード情報を伝送している場合は、非保持とします。

PCIDSS(Payment Card Industry Data Security Standard)とは

クレジットカード会員データを安全に取り扱う事を目的として策定された国際ブランドが策定した基準です。
(下記の日本カード情報セキュリティ協議会のホームページ参照)。

日本カード情報セキュリティ協議会のホームページ

販売形態別ご対応事項

すべての対面取り引きの加盟店様
店頭でのカード取り扱い時、暗証番号(PIN)入力をスキップしサインにて本人認証を行う「PINバイパス」は2025年3月をもって原則廃止となります。暗証番号入力による取り引きの徹底につきましてご理解を賜りますようお願いいたします。

決済専用端末(CCT)を単独で設置している加盟店様

  • CCT・・・据え置き型端末、モバイル端末等
ご対応が必要です

ICカード読み取り不可端末

暗証番号を入力する方式のICカード読み取り可能端末への置き換えが必要です。

ご対応は不要です

暗証番号を入力する方式のICカード読み取り可能端末

漏洩対策・不正利用対策が完了しておりますので新たな対応は不要です。

  • ただし、自社システム等でカード番号等を保持している場合は、非保持化またはPCIDSSに準拠する必要があります。
    ICカード読み取り不可端末暗証番号を入力する方式のICカード読み取り可能端末への置き換えが
    必要です。
ICカード読み取り不可端末からICカード読み取り可能端末に置き換え

POSシステムと端末間で決済情報を連動させている加盟店様

ご対応が必要です

ICカード読み取り不可端末

暗証番号を入力する方式のICカード読み取り可能端末への
置き換えが必要です。

POSシステム等の自社システムでカード番号等を保持している場合

POSシステムの改修、置き換え等を行い、
非保持化またはPCIDSSに準拠する必要があります。
ご不明な点があれば、POS機器メーカーにご照会ください。

ご対応は不要です

暗証番号を入力する方式のICカード読み取り可能端末

漏洩対策・不正利用対策が完了しておりますので新たな対応は不要です。


カード処理機能を持ったPOS端末を設置している加盟店様

ご対応が必要です

ICカード読み取り不可のPOS端末

ICカードに対応したPOS端末に置換えを行うか、
ICカードに対応した決済端末を導入しPOSシステムに接続する
必要があります。

POSシステム等の自社システムでカード番号等を保持している場合

POSシステムの改修、置き換え等を行い、
非保持化またはPCIDSSに準拠する必要があります。
ご不明な点があれば、POS機器メーカーにご照会ください。

ご対応は不要です

暗証番号を入力する方式のICカード読み取り可能のPOS端末

漏洩対策・不正利用対策が完了しておりますので新たな対応は不要です。

  • 導入されいている決済システムにより「非通過型」、「通過型」に大別されますが、どちらを導入しているかはご契約先の決済代行業者にご確認ください。

自社システム等を通過しない決済システムの加盟店様(非通過型)

ご対応は不要です

新たな対応は不要です。


自社システム等を通過する決済システムの加盟店様(通過型)

ご対応が必要です

①自社システム等を通過しない決済システム(非通過型)への切り替え、またはPCIDSSに準拠する必要があります。

②なりすましによる不正使用防止のため、パスワードの入力等により、本人が利用していることを確認できる仕組みや申込者の過去の取引情報などから不正な取引かどうかを判定する手法の導入等、各加盟店の業種・取扱商材、リスクの状況に応じて、多面的・重層的な
不正使用対策をする必要があります。

  • セキュリティサービスの導入については、ご契約の決済代行会社へご相談のうえ、ご対応をお願いいたします。

セキュリティサービス例

本人認証サービス
(3Dセキュア)

クレジットカード情報に加え、会員様が設定された「本人認証パスワード」をご入力いただくことにより、クレジットカード情報の盗用による「なりすまし」などの不正利用を未然に防止します。

セキュリティコード

セキュリティコードとは、カード裏面に印字されている3桁、または4桁の数字を指します。会員様のみがわかるセキュリティコードをご入力いただくことにより、スキミングでクレジットカードが不正利用されることを防止します。

不正検知システムの導入

利用者の入力情報(氏名、クレジットカード番号、メールアドレス等)、利用者のデバイス情報、IPアドレス、過去の取引情報、取引頻度といった情報を多面的に検証することで、不正利用リスクを事前に検知し不正利用を未然に防げる可能性が高まります。


本件に関するお問い合わせ先

楽天カード株式会社 加盟店管理センター

092-303-5535

営業時間9:30~17:00(土、日、祝日、年末年始を除く)

  • ネット決済システムに関するお問い合わせは、契約先の決済代行会社等にご確認ください。
  • POS機器に関してご不明な点があれば、POS機器メーカーにご照会ください。