BLOG

クレジットカード業界やPCI DSSに関する最新動向をお届けします

2019.02.22

デビットカードやプリペイドカードの情報も保護の対象か?

  • このエントリーをはてなブックマークに追加
改正割賦販売法はクレジットカード番号等に対して適切な管理を義務付けているが、国際ブランドのルールでは管理の対象を「ペイメントカード」と規定している。これには、クレジットカードだけでなくデビットカードやプリペイドカードも含まれる。カード番号では、これらのカード種別を識別できないため、全てを対象と見なして保護する必要がある。

欧米では、これらのカードはいずれも銀行本体の事業に位置付けられている。銀行を源流とするMastercardやVisaは、一連のカード商品を全て網羅している。一方、日本国内では割賦販売から発展したクレジットカードを割賦販売法の下で経済産業省が監督している。同法が実務上の指針に位置付けたクレジット取引セキュリティ対策協議会による実行計画も、表題は「クレジットカード取引における」となっており、デビットカードやプリペイドカードには言及していない。

とはいえ加盟店は、カード種別を意識せずに同一のカード決済端末で同等に扱っている。カード情報を保護する観点からは、デビットカードやプリペイドカードもクレジットカードと同等に管理・保護するべきである。

また、預金の払い出しや貸し付けを行うATM(現金自動預け払い機)取引も、割賦販売法の範疇ではない。しかしATMでもキャッシングのためにクレジットカード情報を処理・伝送しているので、加盟店と同等のカード情報保護が求められるはずだ。ところが、よりどころとなる枠組みや法律要件は存在しない。デビットカードやプリペイドカードによるATM取引も、実行計画の対象外である。同じ国際ブランドのカードであっても、カード種別によってよりどころとなる法制度や監督官庁が異なるのだ。(図)

▼図 カード決済に関する法律とPCI DSSの適用対象



国際ブランドのルールでは、ATM取引の場合でも、海外発行のペイメントカード情報を保存・処理・通過する全ての事業者に対してPCI DSS準拠を求めている。国際ブランドのロゴマークが付いたカードを取り扱う事業者は、PCI DSSに準拠する義務を負っている。ここには、日本特有の非保持化の考え方は存在しない。PCI DSSへの準拠を怠ると、国際ブランドのカードの取り扱いができなくなる。



(共著:fjコンサルティング代表取締役CEO 瀬田陽介
    PCI Security Standard Council アソシエイト・ダイレクター 日本 井原亮二)



※出所:書籍『改正割賦販売法でカード決済はこう変わる』(日経BP社、2018年4月発行)から著者および出版社の許諾を得て転載

    ■書籍の詳細はこちら(日経BP社):改正割賦販売法でカード決済はこう変わる

この記事が気に入ったら
いいね!しよう

PCI DSS 関連の最新記事をお届けします

  • このエントリーをはてなブックマークに追加