改正割賦販売法とは？ クレジット加盟店が知っておきたいクレジットカード決済業務のルール

デビットカードやプリペイドカードの情報も保護の対象か？

改正割賦販売法はクレジットカード番号等に対して適切な管理を義務付けているが、国際ブランドのルールでは管理の対象を「ペイメントカード」と規定している。これには、クレジットカードだけでなくデビットカードやプリペイドカードも含まれる。カード番号では、これらのカード種別を識別できないため、全てを対象と見なして保護する必要がある。

加盟店は、カード種別を意識せずに同一のカード決済端末で同等に扱っている。カード情報を保護する観点からは、デビットカードやプリペイドカードもクレジットカードと同等に管理・保護するべきである。


■ 図：カード決済に関する法律とPCI DSSの適用対象

（参考記事： https://pcireadycloud.com/blog/2019/02/22/2728/）

多様化する決済サービスのプレーヤー

カード事業を構成しているのは、①カード発行会社、②加盟店契約会社、③加盟店、④カード会員―であり、この4者によるビジネスモデルは「4者間契約モデル（オフアス取引）」と呼ばれる。

代表的な事業者として、EC加盟店などと加盟店契約会社の間で決済処理を代行するPSP、加盟店の内部業務処理を受託するプロセシング事業者、加盟店からのカード取引を加盟店契約会社に仕向けるスイッチング事業者などがある。これらを含めて、4者間契約モデルには属さないがカード情報を扱う事業者は、総称して「サービスプロバイダー」と呼ばれている。



■ 図：4者間契約モデルでのカード決済の流れ



■ 図：決済サービスには多様なサービスプロバイダーが関わるようになっている

（参考記事：https://pcireadycloud.com/blog/2018/10/09/2612/）

クレジットカードの不正使用を防止するには？

実行計画では、カード情報の不正使用対策の具体的な方策として、「本人認証」「券面認証」「属性・行動分析」「配送先情報」の4つを定めている。



■ 図： 不正使用リスクによるEC加盟店の分類と求められる対応策

（参考記事：https://pcireadycloud.com/blog/2018/07/19/2576/）

PCI DSS Ready Cloudでは、PCI DSS v4.0への効率的な移行支援及び準拠を促進するクラウドサービスを提供しています。
是非一度、ご相談ください。
PCI DSS準拠を促進するクラウドサービスならPCI DSS Ready Cloud

■ PCI DSS の構築、維持・運用にかかるコストと工数を削減する
 
■ AWSでの開発事業者や外部ベンダー/事業者との専用線接続がない場合に最適
 
■ 国内トップクラスのPCI DSS専門のコンサルタント集団によるPCI DSS準拠支援サービス