改正割賦販売法と加盟店の義務

クレジットカードを利用した決済の安全性を高めるため、加盟店にも一定の義務が課されていることをご存知でしょうか。特に2018年に施行された改正割賦販売法では、カード情報の管理や不正利用防止に関する具体的な対策が求められています。本記事では、改正割賦販売法の内容や加盟店が守るべき義務、実際に必要な対応についてわかりやすく解説します。

そもそも改正割賦販売法とは？

クレジットカード決済の安全性を高めるための法改正

改正割賦販売法は2018年6月1日に施行され、クレジットカード決済の安全性強化を目的とした法律です。加盟店に対し、カード情報の適切な管理と不正利用防止対策が義務付けられました。

急増するカード情報の漏えいと不正利用被害

背景には、クレジットカード情報の漏えい事故や不正利用被害の増加があります。特にインターネットを介した不正利用は年々増加しており、加盟店側にもセキュリティ対策が求められるようになりました。

加盟店が守るべき2つの大きな義務

義務その1：クレジットカード情報の適切な管理

原則は「カード情報の非保持化」

非保持化とは、加盟店がカード番号などの重要情報をシステムや端末に保存せず、処理の過程で一切保持しない状態を指します。これにより情報漏えいリスクを大幅に低減できます。

ECサイト（非対面決済）における非保持化の方法

決済代行会社が提供する外部システムに直接情報を入力する方式を採用し、店舗側サーバーにカード情報を残さない仕組みを導入することが推奨されています。

対面決済における非保持化の方法

IC対応端末を利用し、カード情報が加盟店のレジや端末に残らないように処理する方法が一般的です。決済情報は暗号化され、直接カード会社に送信されます。

カード情報を保持する場合の必須要件「PCI DSS準拠」

PCI DSSは、国際カードブランド5社が共同で策定したクレジットカード情報保護のためのセキュリティ基準です。カード情報を保持する場合、加盟店はこの基準に準拠することが義務付けられています。

ただし、PCI DSS準拠にはシステム改修やセキュリティ監査などが必要となり、中小規模の事業者にとっては大きなコスト負担となる場合があります。そのため、現実的には非保持化を選択する店舗が増えています。

義務その2：クレジットカードの不正利用防止対策

対面決済（店舗）での対策

磁気ストライプ決済では偽造カードによる被害が多いため、ICカード対応端末の導入が推奨されています。ICカードを読み取ることでセキュリティが強化され、不正利用のリスクを軽減できます。また、サインだけでなく暗証番号（PIN）の入力を徹底することで、第三者によるなりすましを防ぐことが可能です。特に高額決済ではPIN入力が有効です。

なお、2025年4月1日以降、日本クレジットカード協会の「クレジットカード・セキュリティガイドライン」により、ICチップ付きクレジットカードを店舗で使用する際には、原則として暗証番号の入力が必須に。サインによる本人確認を暗証番号で代替する「PINバイパス」は2025年3月末をもって廃止されました。

非対面決済（ECサイト）での対策

ECサイトでは不正利用を検知するシステムの導入が求められています。購入者の行動パターンを分析し、不審な取引を自動的に検知する仕組みが有効です。

さらに、パスワードやワンタイムコードを利用して本人確認を行う「EMV 3Dセキュア」の導入も義務付けられています。これにより、利用者本人以外の取引を防止できます。

なぜ対策が必要？加盟店が負うリスクと罰則

カード会社からの加盟店契約解除

改正割賦販売法に基づく義務を怠ると、カード会社から加盟店契約を解除される可能性があります。契約を失えばカード決済が利用できなくなり、売上に大きな影響を及ぼします。

不正利用による損害賠償責任

カード情報の管理不備で不正利用が発生した場合、加盟店が損害を負担するケースがあります。顧客からの請求だけでなく、カード会社からの賠償請求に発展することもあります。

信用の失墜と顧客離れ

情報漏えいや不正利用が発覚すると、店舗や企業の信用は大きく損なわれます。一度失った顧客の信頼を取り戻すのは容易ではなく、売上減少や長期的な顧客離れにつながります。

今すぐできる！自社のセキュリティ対策状況の確認方法

契約している決済代行会社に確認する

まずは契約している決済代行会社に、自社のシステムや端末が改正割賦販売法に準拠しているかを確認しましょう。最新のセキュリティ基準に対応しているかどうかを把握することが第一歩です。

利用している決済端末・カートシステムを確認する

店舗で使用している端末がICカード対応か、ECサイトのカートシステムが非保持化に対応しているかを確認します。古い機器やシステムの場合はアップデートが必要になる場合があります。

【チェックリスト】自社の対応状況を総点検

・カード情報を保持していないか
・ICカード決済に対応しているか
・3Dセキュアを導入しているか
・不正利用検知システムを利用しているか
これらをチェックすることで、自社の対策状況を簡単に総点検できます。

改正割賦販売法についてのまとめ

• 加盟店には「カード情報の非保持化」または「PCI DSS準拠」が義務付けられている
• 不正利用防止のため、IC端末や3Dセキュアなどの導入が求められる
• 違反した場合、加盟店契約解除や損害賠償、信用失墜のリスクがある

改正割賦販売法は、クレジットカード決済における安全性を確保するために定められた法律です。加盟店は顧客のカード情報を保持せず、PCI DSS準拠やICカード端末、3Dセキュアなどのセキュリティ対策を実施することが求められます。これらの対策を怠ると、契約解除や損害賠償といった直接的なリスクだけでなく、信用を失い顧客離れにつながる恐れもあります。まずは自社の端末やシステムが基準に適合しているかを確認し、不足している部分を早急に補うことが重要です。