改正割賦販売法は、日本の主要な消費者保護法の 1 つで、クレジットカード支払いを受け付ける日本のあらゆるインターネットビジネスに適用されます。オンラインビジネスが消費者のデータを安全に管理できるようにして、オンラインでの不正使用を減らすために、日本政府は 2018 年に割賦販売法を改正しました。
このガイドでは、この規制の主な要件や、日本の Stripe ユーザーがコンプライアンスを維持するための方法を紹介します。
割賦販売法、改正の背景
日本クレジット協会 (JCA) が委託した 2018 年 3 月のレポート によると、2017 年は、業界全体の不正使用被害が今までで最も高い年となっています。金銭的損失のうち 236 億円超 (2 億 USD 以上) はオンラインでの不正使用に起因し、前年から 65% 増加しています。
それに応じて、JCA のクレジット取引セキュリティ対策協議会は 2018 年の実行計画 を発表しました。これは、オンラインでカード支払いを受け付ける事業者向けのセキュリティと不正防止に関するポリシーの改善を目的としています。改正割賦販売法の施行により、オンラインビジネスには、クレジットカードデータの適切な処理と不正防止対策の実行が求められています。
クレジットカードデータを適切に処理する
PCI データセキュリティ基準 (PCI DSS: Payment Card Industry Data Security Standard) は、クレジットカード支払いを受け付ける事業者向けの世界的な情報セキュリティ基準です。JCA による 2018 年の実行計画は、この世界的な基準に準拠して実施されています。そのため、PCI に準拠することは、事業者が改正割賦販売法の要件を満たすための主要な手法となっています。
オンライン取引ではカード保有者データの安全性に対するリスクが高まっているため、JCA の実行計画では、ビジネスに対して未加工のカード情報を処理しないように強く推奨しています。具体的には、事業者に対して、所有するネットワーク上のコンピューターやサーバー、その他のデバイスでカード保有者データを送信、保管、処理しないように求めています。
こうした要件を満たすために、事業者はカードデータをトークン化することができます。トークン化によって、機密性の高いカード詳細を顧客から安全に収集することが可能になります。機密データがサーバーに達することはなく、代わりにその情報を表したトークンがサーバーに返され、使用されます。また、Stripe のような PCI に準拠した決済代行業者を利用することによって、支払いの詳細をカードネットワークで直接処理するのを避けることもできます。
Stripe ユーザーへの影響
Stripe ユーザーは、Stripe Elements、Stripe Checkout または複数ある モバイル SDK などを利用し、データセキュリティに関する良質なビジネス慣行を確保することで、オンラインで支払いを受け付ける際に未加工のカードデータを処理する必要がなくなります。
未加工データを処理する場合
この規制では、未加工のカードデータを処理するビジネスに対して、PCI-DSS による認定を受けることを求めています。事業者が未加工のカードデータの処理を必然的に行う必要がある場合、認定を受けるためのプロセスで高い金銭的および時間的なコストが発生しますのでご注意ください。Stripe ダッシュボードでは、ガイド付きのフローをご用意しています。詳細については、Stripe の PCI-DSS 準拠ガイド をご覧ください。
JCA の要件
|
可能なアプローチ
|
費用
|
---|---|---|
カード詳細の送信、保管、処理を行わないまたは PCI-DSS 認定を受ける |
Stripe Elements、Stripe Checkout、または モバイル SDK をすべての決済に使用 | 無料 |
PCI-DSS 認定を取得し、Stripe ダッシュボードを使って認定状態を報告します (PCI 準拠のためのガイド をご覧ください)。 | ビジネスの規模と複雑さに応じて異なります (PCI Security Standards Council のウェブサイトをご覧ください)。 |
不正防止対策の実行
JCA の実行計画では、オンラインビジネスに対して、次の不正防止手段が推奨されています。
1. 本人認証: カード保有者が、クレジットカード発行会社に登録済みのパスワードを入力して取引を認証する (例: 3D セキュア)。
2. セキュリティコード: カードの裏面に表示されている 3 桁または 4 桁の番号を、カード保有者がオンライン取引中に入力する (例: セキュリティコードの確認)。
3. 属性と行動パターンの分析: 取引の属性と行動パターンを過去の不正使用取引から収集されたものと一致させることで、不正使用の疑いのある取引を特定する。IP アドレスや顧客のアクティビティーなどの追加データによって、結果の精度を高めることが可能。
4. 配送先住所の情報: 不正な支払いは、過去の不正取引で使用されたことが明らかな住所リストに配送先住所を照らし合わせて特定することもできる。こうしたデータベースはサードパーティーから提供されている場合もあれば、ビジネスが自社で直接保持している場合もある。
* 出典
Stripe ユーザーへの影響
Stripe では、これらにスピーディーかつ容易に対応するための手段を提供しています。
JCA の推奨事項
|
Stripe の推奨事項
|
---|---|
本人認証 | 3D セキュア |
セキュリティコード | Radar による セキュリティコードの確認 |
属性と行動の分析 | Stripe Radar |
配送先住所の情報 | Stripe Radar リスト |
おわりに
Stripe プラットフォームは、新機能や変化する規制をユーザーが常に把握できるように設計されています。改正割賦販売法によって導入された要件 (ならびに JCA の実行計画) と Stripe ユーザーがコンプライアンスを維持するための方法を理解するにあたり、このガイドがその一助となれば幸いです。ご不明な点がございましたら、お問い合わせください。