2016年12月に「改正割賦販売法」が公布され、実店舗、ECサイトを含むすべてのクレジットカード加盟店にセキュリティ対策が義務付けられた。小売業界には、システム改修などのコストと手間が強いられるが、対応が遅れれば、最悪の場合、加盟店契約を解除されるおそれもある。

増えるクレジットカードの不正使用

　一時期は減少傾向にあったクレジットカードの不正使用被害額が、2012年を底として再び増加に転じた。カードの磁気ストライプ部分に含まれる情報を複製するスキミング犯罪に加え、不正に入手したカード番号をECサイトなどで利用する番号盗用被害が拡大している。日本クレジット協会の調査によると、16年の1年間で、日本国内で発行されたクレジットカードの不正使用額は140億円以上に達したという。
 
　被害が拡大する一方で、長らく“現金主義”だった日本の消費者の間でもクレジットカードの利用は徐々に根付きつつあり、カードを安心して使える環境が整わなければ、将来の消費動向にも悪影響をおよぼすおそれがある。

　特に、これまで世界でも圧倒的にカード犯罪の多い米国で、偽造の困難なICチップ搭載カードへの対応が急速に進んでいる点には注目する必要がある。日本はカード側へのICチップ搭載は進んでいるものの、店舗側では従来の磁気ストライプによる読み取りにしか対応していないケースがまだまだ多い。IC対応がほぼ完了したヨーロッパや、カードの導入が後発だったために、最初からIC対応の店も多い他のアジア諸国と比較すると、日本はぜい弱な市場だ。米国での偽造カードの悪用が難しくなった犯罪者たちが、次に狙うのが日本の小売店となる危険性は否めない。

　日本のカード関連業界も手をこまねいているわけではない。カード会社に加え、加盟店、ITベンダー、消費者団体などの幅広い事業者と行政が参画する「クレジット取引セキュリティ対策協議会」は、カード情報を守るための取り組みをまとめた「実行計画」を策定した。また、昨年12月には国会で割賦販売法の改正法が成立し、カード情報に関するセキュリティ対策が法的な義務としても明記された。

　これまで、カード情報の不正使用防止策は、いわば“カード会社まかせ”の状態だったが、前述の実行計画と改正割賦販売法では、加盟店側にも対策が求められているのが重要なポイントだ。具体的には、すべての加盟店で「カード情報の非保持化、またはPCI DSS準拠」が、実店舗においてはさらにICチップ搭載カードへの対応が必要となる。実行計画では、ECサイト等の非対面店では18年3月、実店舗では20年3月が対応期限として設定されている。
 
　では今後、法的義務となるセキュリティ対策を加盟店が行わなかった場合にはどうなるのか。実は、加盟店を直接罰する規定はない。しかし、改正割賦販売法には加盟店管理の強化につながる内容が盛り込まれており、対策を講じない店は加盟店契約を解除され、クレジットカードの取り扱いができなくなる可能性がある。万が一、実際に不正使用が発生した場合、これまでは店舗側も被害者的な立場でいられたかもしれないが、法で定められた義務を果たしていなければ、カード犯罪の温床を用意した側として見られかねなくなるのだ。（BCN・日高 彰）

・後編＜課題はPOSレジの「カード情報非保持化」＞に続く