『改正割賦販売法でカード決済はこう変わる』を読んだ

2019年の1Qに読んだ本シリーズ:

改正 割賦販売法でカード決済はこう変わる

改正 割賦販売法でカード決済はこう変わる

概要

2018年6月から施行されている「改正割賦販売法」によって、クレジットカード加盟店がクレジットカードを扱う際の対応がどのように変わったのか、という点について解説されています。とくに、クレジットカードセキュリティのグローバルな基準であるPCI DSSと、国内でのクレジットカードセキュリティの実務指針である「実行計画」に対して、どのように対応していけばよいかについて説明されています。

割賦販売法はクレジットカードの根拠法です。なぜ割賦販売法が改正されたかというと、主にはカード情報流出対策として加盟店に対するカード情報保護義務を規制として追加するため、という理由があります(他にもある)。また、実務指針である「実行計画」は、オリンピックが開催される2020年までは毎年更新されるので、訪日外国人のカード決済を保護していくという意味合いも持っているようです。

なぜ読んだのか

EC系Webサービスを開発/運用しているとPCI DSSという言葉をよく聞くのですが、実態がよくわからないので知りたかったというのがあります。非保持化に関しては実装の経験が何度かありましたが、PCI DSSに対応する場合との違いについても知りたいと思っていました。また、そもそも非保持化などの対応が必要になった理由を知っておきたかったというところもあります。

メモ

PCI DSSと「実行計画」

PCI DSSはクレジットカードに関するグローバルな業界セキュリティ基準です。

PCI Security Standards Council公式サイト

一方、日本クレジット協会が発表している「実行計画」は、日本においてクレジットカードのセキュリティ対策をおこなう際の実務的な指針です。2019年版はこちらです。

関連資料 | 安全・安心なクレジットカード取引への取組み | 一般社団法人日本クレジット協会

クレジットカード情報の「非保持化」は実行計画で示されているものであり、日本国内でのみ採用している方式です。実行計画では、非保持化しない場合はPCI DSSへの対応を求めています。

ここで、「非保持化」とは、例えばECサイトをホストしているサーバが生のクレジットカード情報を保存/処理せず、そもそもクレジットカード情報自体がサーバを通過しない、ということを表しています。ただし、クレジットカードの電磁的なデータだけがその対象となり、紙媒体や通話録音データは保持に当たらない、と規定されています(厳重に保管する必要はある)。

また、非保持化という対応が許されるのは一般の加盟店だけであり、イシュア/アクワイアラ/決済代行業者や国外でサービスを提供する加盟店は、つねにPCI DSSに準拠している必要があります。

非保持化の方法

Webアプリケーションの開発者的に興味がありそうなのはここかと思います。EC加盟店で非保持化するためには次のような方式が利用できます。

  • リダイレクト(リンク型)決済
  • JavaScript型(トークン)決済

リダイレクト決済は、決済サービスのプロバイダが提供する決済用ページへ顧客を誘導する方式です。クレジットカードの処理をプロバイダへ完全に委譲できるのでセキュアですが、加盟店のページと別のドメインのページへとユーザを遷移させることになるので、カゴ落ちが起きやすくなるのが欠点です。

JavaScript型は、トークン化などのカード番号無効化処理をブラウザとPSPの間で実行し、そのトークンをEC加盟店のサーバが決済時に使う方式です。トークンはカード番号ではないので、非保持化の要件を満たしています。また、加盟店のページで決済が完結するのでカゴ落ちしづらいのもメリットと言えます。

他の方法として、加盟店のページに決済サービスのプロバイダが提供するモジュールを埋め込むモジュール型があります。これはカード情報を保存はしませんが通過はするので、バックドアが仕掛けられるとアウトという弱点があります。よって、この方式は非保持とは見なされていません。

PCI DSS準拠

非保持化ではなくPCI DSSに準拠したサービスとしていく場合、その要件に準拠していることをオンサイトレビューなどで示さなければなりません。この作業は件数が多く、負担も大きいので、まずは該当加盟店のカード情報取扱の状況に適した自己問診票 (SAQ) を選択することで、準拠するための項目を減らすことができます。例えば、EC加盟店でリダイレクト決済を使っている場合は、カード情報送受信に関する要件などは省略された要件の少ない問診票 (SQA A)が利用できる、などです。

加盟店用のフルセットのSAQであるSAQ-D加盟店だと331項目ありますが、これはけっこう大変そうです…

その他

2019年からは3Dセキュアの2.0が登場し、ワンタイムパスワードや、怪しい取引に限って3Dセキュアのパスワード入力を求めるリスクベース認証が導入されるようです。

まとめ

PCI DSSとは別に、国内では「実行計画」が存在し、それが非保持化もしくはPCI DSSへの準拠を求めていることがわかりました。また、PCI DSSへの対応の際には自己問診票の活用が大事そうということがわかりました。

全体的に説明が詳しく、EC加盟店の他に通販や対面の加盟店での対応方法も書いてあり、最近のクレジットカード事情がわかって便利かと思うので、興味のある人は読んでみてください。