改正 割賦販売法でカード決済はこう変わる の商品レビュー
改正割賦販売法のお勉強。 日本クレジット協会(JCA)を事務局として2015年3月に設置された「クレジット取引セキュリティ対策協議会」は2016年2月に、『クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画―2016―』(実行計画2016)を発表した。実行...
改正割賦販売法のお勉強。 日本クレジット協会(JCA)を事務局として2015年3月に設置された「クレジット取引セキュリティ対策協議会」は2016年2月に、『クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画―2016―』(実行計画2016)を発表した。実行計画は、協議会および傘下のワーキンググループでの議論をベースに、各年度の重点施策や課題を踏まえて、2017年と2018年に更新されている。2020年のオリンピックイヤーまで毎年更新される予定である。 実行計画は次の3つの柱で構成される。 ①クレジットカード情報保護の強化 ②クレジットカード偽造防止対策の強化 ③非対面取引におけるクレジットカードの不正使用対策の強化 2018年3月に公表された実行計画2018では、同年3月末の期限到来および同年6月の改正割賦販売法の施行を見据えて、それぞれについて下記の対応を求めている。 (1)非対面加盟店は、カード情報の適切な保護に関する対応(非保持化またはPCIDSS準拠)が求められる。対応済みの加盟店においては、情報漏えい防止のため、セキュリティ対策の維持・運用に努める。 (2)対面加盟店は、改正割賦販売法の施行までの対応を基本とし、遅くとも2020年3月までにカード情報の非保持化またはPCIDSS準拠を目指す。 (3)カード会社(カード発行会社と加盟店契約会社)およびPSPは、PCIDSSに準拠し、これを維持・運用する。このほか、関係法令・ガイドライン等を参照し、リスクに応じた必要なセキュリティ対策を講じるとともに、適切な管理・運用を行う。 実行計画2017年以降は、実行計画2016における「サーバー」を「自社で保有する機器・ネットワーク」と変更したのだ。このため、サーバー以外の機器やネットワークをカード情報が通過する場合は非保持にはならないことになる。さらに、「電磁的に送受信しないこと」と明示することで、紙に記載されたカード情報については、それらを保持していたとしても非保持に該当することが明記された。ただし、非保持とみなされるとはいえ、紙の情報は鍵をかけたロッカーに保管するなど、カード情報を保護するための一般的な対策が必要になる。 クレジットカード情報保護において、非保持化がPCIDSS準拠と同等であると見なされるのは、クレジットカード加盟店だけであることに留意する必要がある。実行計画では、カード発行会社(イシュアー)、加盟店契約会社(アクワイアラー)、サービスプロバイダー(PSP、プロセシング事業者=決済データの処理などを受託する会社など)といった加盟店以外でカード情報を取り扱う事業者に対しては、カード情報の保持を前提とした適切な対策の構築を求めている。そのため、それらの事業者には非保持化という選択肢はなく、PCIDSSへの準拠が求められる。
Posted by
改正割賦販売法のお勉強。 日本クレジット協会(JCA)を事務局として2015年3月に設置された「クレジット取引セキュリティ対策協議会」は2016年2月に、『クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画―2016―』(実行計画2016)を発表した。実行...
改正割賦販売法のお勉強。 日本クレジット協会(JCA)を事務局として2015年3月に設置された「クレジット取引セキュリティ対策協議会」は2016年2月に、『クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画―2016―』(実行計画2016)を発表した。実行計画は、協議会および傘下のワーキンググループでの議論をベースに、各年度の重点施策や課題を踏まえて、2017年と2018年に更新されている。2020年のオリンピックイヤーまで毎年更新される予定である。 実行計画は次の3つの柱で構成される。 ?クレジットカード情報保護の強化 ?クレジットカード偽造防止対策の強化 ?非対面取引におけるクレジットカードの不正使用対策の強化 2018年3月に公表された実行計画2018では、同年3月末の期限到来および同年6月の改正割賦販売法の施行を見据えて、それぞれについて下記の対応を求めている。 (1)非対面加盟店は、カード情報の適切な保護に関する対応(非保持化またはPCIDSS準拠)が求められる。対応済みの加盟店においては、情報漏えい防止のため、セキュリティ対策の維持・運用に努める。 (2)対面加盟店は、改正割賦販売法の施行までの対応を基本とし、遅くとも2020年3月までにカード情報の非保持化またはPCIDSS準拠を目指す。 (3)カード会社(カード発行会社と加盟店契約会社)およびPSPは、PCIDSSに準拠し、これを維持・運用する。このほか、関係法令・ガイドライン等を参照し、リスクに応じた必要なセキュリティ対策を講じるとともに、適切な管理・運用を行う。 実行計画2017年以降は、実行計画2016における「サーバー」を「自社で保有する機器・ネットワーク」と変更したのだ。このため、サーバー以外の機器やネットワークをカード情報が通過する場合は非保持にはならないことになる。さらに、「電磁的に送受信しないこと」と明示することで、紙に記載されたカード情報については、それらを保持していたとしても非保持に該当することが明記された。ただし、非保持とみなされるとはいえ、紙の情報は鍵をかけたロッカーに保管するなど、カード情報を保護するための一般的な対策が必要になる。 クレジットカード情報保護において、非保持化がPCIDSS準拠と同等であると見なされるのは、クレジットカード加盟店だけであることに留意する必要がある。実行計画では、カード発行会社(イシュアー)、加盟店契約会社(アクワイアラー)、サービスプロバイダー(PSP、プロセシング事業者=決済データの処理などを受託する会社など)といった加盟店以外でカード情報を取り扱う事業者に対しては、カード情報の保持を前提とした適切な対策の構築を求めている。そのため、それらの事業者には非保持化という選択肢はなく、PCIDSSへの準拠が求められる。
Posted by
情報のキャッチアップのため。 複雑なのは複雑なんだけど丁寧に解説してあってよい。 必要があれば特定の場所を、読み直すのもいいかもね。 カード情報保護の必要生と求められる対策 加盟店におけるカード情報非保持化の実現 加盟店の非保持かを支援するサービス PCI DSS への準拠 ...
情報のキャッチアップのため。 複雑なのは複雑なんだけど丁寧に解説してあってよい。 必要があれば特定の場所を、読み直すのもいいかもね。 カード情報保護の必要生と求められる対策 加盟店におけるカード情報非保持化の実現 加盟店の非保持かを支援するサービス PCI DSS への準拠 決済に関わる新技術とカード情報の保護
Posted by
- 1