改正割賦販売法への準拠

日本で Stripe を利用されているユーザのみなさまへ

割賦販売法の一部を改正する法律 (改正割賦販売法) は、日本の消費者保護をするための主要な法律の一つです。この法律は、日本でオンラインビジネスのお支払いをクレジットカードで受け付けているすべての事業者に適用されます。2018年、日本政府は本法律を改正しました。その目的は、オンラインビジネス事業者が安全に消費者データを扱うこと、及びクレジットカードの不正使用を減らすことです。

本ガイドは、本改正における主な必須事項と日本における Stripe のビジネスがどのように法律に遵守しているかをご紹介します。

背景

一般社団法人日本クレジット協会(以下、JCA)により、クレジット2018年3月に発表された日本のクレジット統計によると、2017年のクレジットカード不正使用被害総額は、これまでの統計で最も被害が大きな年となりました。具体的には、2017年のクレジットカード不正使用による被害総額は236億以上となり、前年度比65%増の結果となりました。

この傾向への対策として同法人が事務局を務める「クレジット取引セキュリティ対策協議会」は、クレジットカード取引におけるセキュリティ対策の強化に向けた「実行計画 2018」を3月1日に発表しました。また、経済産業省によって2018年6月に施行済みの割賦販売法の一部を改正する法律 (以下、改正割賦販売法) では、クレジットカード決済を利用する非対面加盟店 (EC事業者など) に対し「クレジットカード情報の適切な管理」と「第三者による不正使用対策」の対応を義務付けました。

クレジットカード情報の適切な管理

クレジットカード業界には加盟店やサービスプロバイダにおいてクレジットカード情報を安全に扱うことを目的として策定された、PCI-DSS (Payment Card Industry Data Security Standard) という国際基準があります。割賦販売法の改正に伴い、実行計画において JCA は PCI-DSS などを参考にしながらクレジットカード情報の適切な管理方法を定めました。 つまり、改正割賦販売法の必須要件を満たすためには、PCI-DSS に準拠することが最も重要なこととなります。

オンライン決済などの非対面での決済には常にデータ漏えいのリスクが発生します。JCA の実行計画により「クレジットカード情報の適切な管理」とは、加盟店におけるクレジットカード情報の「非保持化」のことです。この非保持化とは、クレジットカード情報をデスクトップ、ノート PC、サーバを含むネットワーク上の接続されたデバイスにて「通過」させない、「保存」しない、「処理」しないことを指します。

まずカード情報を通過させない方法は、トークンを利用する方法です。トークン化により、みなさまご自身の会社にクレジットカード情報が渡らず、安全にやりとりができるようになります。クレジットカードなどの機密情報がサービス側のサーバーにヒットせず、トークンがカード情報の代わりに利用される仕組みにより実現可能となります。

Stripe 上で実現するには

Stripe ユーザは、Stripe ElementsStripe Checkout、あるいはモバイル SDK を使用することにより、カード情報の非保持という要件を満たすことができます。これらプロダクトを活用するシステムでは、加盟店の環境下でデータを通過・保存・処理する必要性が失われます。

カード情報を保持するには PCI 準拠が条件

非保持化に対応出来ない加盟店は、この改正により PCI-DSS に準拠する必要があります。通常 PCI-DSS に準拠するには、書類の準備だけで膨大な時間と労力を要します。Stripe ユーザにはダッシュボードより PCI 準拠へのサポートが用意されています。PCI-DSS の準拠について詳しい情報は、PCI 準拠ガイドをご参照ください。

実行計画の要件 Stripe が推奨する対応 Stripe ユーザのコスト
カード情報の非保持化 (非通過・非保存・非処理) または PCI-DSS 準拠 Stripe ElementsStripe Checkout、あるいはモバイル SDK を使用し非保持化する 無償 (導入要)
PCI-DSS 認証を取得し Stripe ダッシュボードを通して PCI-DSS の認証状況を報告する (PCI 準拠ガイド) 事業の規模と状況による (PCI Security Standards サイト)

第三者によるカード不正使用の対策

もうひとつの必須要件である「第三者による不正使用対策」においては以下の方策が JCA より推奨されています。

  1. 本人認証 カード保有者がカード発行会社に事前登録したインターネット取引専用パスワードを使うことでカード所有者であることを確認し、第三者によるカードの不正使用を防止する。 (例:3D セキュア)
  2. 券面認証 カード券面に記載の3~4桁の数字をウェブ上で入力することで、不正使用を防止する。 (例:セキュリティコード(CVC))
  3. 属性・行動分析 過去の取引情報等に基づいたリスク評価によって不正取引を判定する*。デバイス情報や通信関連情報などを組み合わせることで不正検知の精度を向上させる。
  4. 不正配送先情報 過去の不正配送先を蓄積することで不正取引の判断材料に活用、または住所確認をサービス提供者に委託する*。

*「クレジット取引セキュリティ対策協議会実行計画 -2018- の概要について

Stripe 上で実現するには

上記 4 つの対策に対し、ユーザのみなさまがなるべく迅速に対応いただけるよう、以下の方法を用意しております。

JCA が推奨する対応 Stripe が推奨する対応
本人認証の使用 3D セキュア
券面認証の使用 Radar による CVC (セキュリティコード) の確認
属性・行動分析による判定の使用 Stripe Radar が Stripe ネットワークの決済などや機械学習を利用し、不正決済リスクを判定
既知の不正配送先情報を使用した判定 Stripe Radar リスト

最後に

Stripe のプラットフォームは、弊社ユーザさまが常に最新機能を利用できるよう、また法改正などに準拠できるようサポート体制を整えていきます。本ガイドにより、改正割賦販売法(JCA の実行計画)により適用される新たな要件をご理解いただけますと幸いです。ご不明なことなどございました、お気軽にサポートまでご連絡ください。

参考記事とウェブサイト一覧

You’re viewing our website for Denmark, but it looks like you’re in the United States. Switch to the United States site