割賦販売法の改正～安全なクレジット取引環境整備に向けてクレジット取引に携わる各事業者に求められる対応～

1. 改正の背景
2. 改正の内容
3. 各事業者への影響と必要な対応
4. まとめ

しかし、本改正は、クレジットカード発行者のほか、加盟店契約会社や決済代行業者等のクレジット取引に関わる各事業者を規制対象に含めた点で、発行者規制法だった従来の前提を大きく見直すものである。特に以下の点で本改正の意義は大きいと思料する。

• クレジットカード事業者のみならず、加盟店に直接の義務を課している
• 組織を狙うサイバー攻撃の増加により、リスク管理上の重要性が増すサイバーセキュリティに正面から踏みこんでいる
• FinTechを見据えた環境整備を図るものである

本稿では、本改正がクレジット取引に関わる各事業者に与える影響と求められる対応について解説する。

なお、本文中における見解は筆者の私見であることをあらかじめお断りする。

^※1 産業構造審議会 商務流通情報分科会 割賦販売小委員会「報告書～クレジットカード取引システムの健全な発展を通じた消費者利益の向上に向けて～」（2015年7月3日）および同報告書＜追補版＞（2016年6月2日）

ネット取引の急拡大等によりクレジットカード取引高は一貫して増加しているが、その一方では、クレジットカードの不正利用による被害も増加している^※2。不正利用の手口として顕著なのは、セキュリティ対策が不十分な加盟店を狙った不正アクセスや、磁気ストライプでの決済時のスキミングにより窃取したカード情報を使った偽造カードの作成、なりすましでの不正なカード取引等である。

クレジットカードの不正利用やカード情報漏えいを防ぐ有効な手段として、ICカードとIC対応端末によるICクレジット取引の普及が挙げられるが、日本は他国に比べてIC化が遅れている^※3。その結果、セキュリティ環境が脆弱な日本が国際的なクレジット犯罪の標的となる懸念がある。

クレジット取引環境は国民生活・社会経済活動にとって重要なインフラである。さらに、2020年の東京オリンピック・パラリンピックに向けてインバウンド需要を取り込むために、安心・安全なクレジット取引環境を整備することが急務となっている。これらを背景として、日本では、クレジット取引のIC化を中心とするセキュリティ対策強化の必要性が高まっている。

^※2 2015年の不正利用額は約120億円であり、2012年と比較して約1.8倍となっている（国内発行クレジットカードでの不正利用分で、カード会社が把握している分の集計であり、海外発行カード分は含まれない）。
一般社団法人日本クレジット協会「クレジットカード不正使用被害の集計結果について」（2016年3月31日）（PDF：204kb）
^※3 欧州のIC化対応率はほぼ100％となっている。また、アメリカではカード情報の漏えい事件を契機としてクレジット決済のIC化に係る大統領令が発令され、IC化が急速に進んでいるほか、中国・韓国でもChip Mandate（義務化）等によりIC化が急速に進んでおり、日本はIC対応後進国となっている。
経済産業省「クレジットカード取引におけるセキュリティ対策の強化に向けて」（2016年4月）（PDF：2.3Mb）

近年のクレジット取引に関する消費者相談・苦情は、本来予定された販売・役務提供の不履行や、加盟店の説明と提供された商品・役務の相違等、クレジット取引の前提となった加盟店との契約に関するトラブルが大半となっている^※4。すなわち、クレジット取引自体が問題というよりも、悪質な加盟店とクレジット取引の契約をしたことがトラブルの元凶であることがうかがわれる。

悪質な加盟店がクレジット取引を利用できないようにすることが消費者保護のために重要であり、悪質加盟店を排除する法的仕組みが求められる。

^※4 内閣府 消費者委員会「クレジットカード取引に関する消費者問題についての調査報告及び建議の概要」（2014年8月26日）

従来の割賦販売法（以下、「割販法」という）では、クレジットカード発行者（「イシュア」ともいうが、本稿では「カード発行者」とする）と加盟店契約会社（「アクワイアラ」ともいうが、本稿では「加盟店契約会社」とする）が同一の、オンアス取引を想定していた。すなわち、加盟店契約会社の大半はカード発行者を兼ねていることを前提に、カード発行者を規制する枠組みでクレジット取引の安全を図ってきた。

しかし、近年は国際ブランドを介し、カード発行者と加盟店契約会社が異なるオフアス取引（「ノットオンアス取引」ともいうが、本稿では、「オフアス取引」とする）が一般化しつつある。また、ネット取引の増加を背景として、加盟店契約に関して審査等に関与する決済代行業者（PSP：Payment Service Provider）が台頭している。さらに、セキュリティ対策の強化や悪質加盟店の排除の観点からは、加盟店を直接規制の対象に含める必要性が高くなっている。

これまでの割販法では、加盟店契約会社、PSP、および加盟店を従来の規制対象としていなかったため、安心・安全なクレジット取引環境を整備するための取組みを推進するうえで限界があった。

そこで、従来のカード発行者を中心とした規制枠組みを見直し、クレジット取引に携わる各事業者に役割に応じた責任を求め、クレジット取引の安全を図るとの趣旨が今般改正の背景にある。

主な改正点は以下の4点である。

1）販売業者（加盟店等）のクレジットカード情報の適切な管理および不正利用の防止義務

2）加盟店契約会社等の登録制度の創設および販売業者（加盟店等）への調査義務

3）FinTech企業のさらなる参入を見据えた環境整備

4）特定商取引法の改正に対応するための措置

3）は革新的な金融サービス事業を行うFinTech企業の決済代行業への参入を踏まえ、販売業者等に課されているカード利用時の書面交付義務を情報提供義務に改め、電磁的方法による情報提供を可能とするものである。4）は、特定商取引法の改正で不当な勧誘により販売契約を締結した場合の消費者の取消権等が拡充されたことと足並みを揃えるため、不当な販売契約と並行して締結された分割払い等の契約についても同様の措置を講ずるものである。

このように、3）はFinTech企業を対象とするものであり、4）は特定商取引法と平仄を合わせる点から、その影響はそこまで大きいものではないと思われる。

他方、1）販売業者（加盟店等）のクレジットカード情報の適切な管理および不正利用の防止義務、および2）加盟店契約会社等の登録制度の創設および販売業者（加盟店等）への調査義務は、法施行までにセキュリティ対策を講じたり、加盟店調査に関する運用を整備したりする等、各事業者に与える影響は大きいといえる。

そこで、1）と2）について改正のポイントを解説することとしたい。

従来の割販法では、カード発行者と加盟店契約会社にクレジットカード番号等の適切な管理義務は課せられているものの、加盟店に対する規制は、加盟店契約会社がクレジットカード番号等の適切な管理が図られるよう、必要な指導等を行う程度の間接的管理に留まっていた。

しかし、改正法ではカード発行者、加盟店契約会社のほか加盟店を「クレジット番号等取扱業者」と定め、「クレジット番号等取扱業者」に対してクレジットカード情報の適切な管理義務を課すこととした（改正法第35条の16第1項第3号）。したがって、今後は加盟店もカード発行者等と同様の直接的な管理義務を負うとともに、自らの委託先や再委託先に対して指導義務を負うこととなる（同条第3項）。また、加盟店には、利用者によるクレジット番号等の不正な利用を防止するために必要な措置を講ずる義務（不正利用防止義務）も課されることとなった（改正法第35条の15）。

上記義務の具体的な内容は今後定められる経済産業省令によるが、経済産業省の深い関与の下で取りまとめられた「クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画 - 2016 -」^※5がベースになると考えられる。すなわち、クレジット情報の適切管理義務に関しては、カード情報の非保持化やPCI-DSS^※6の準拠が求められ、不正利用防止義務に関しては、IC取引対応端末の導入（対面取引）、3Dセキュア（非対面取引）による本人認証の強化が求められると解される。

クレジットカード情報の適切な管理義務や不正利用防止義務は単なる努力規定ではなく、法的義務となっている。また、経済産業大臣の報告徴求権（改正法第40条第7項）や、立入検査権（同第41条第3項）の対象が「クレジットカード等番号等取扱業者」に改められたため、加盟店も監督官庁への報告等の義務を負う。ただし、カード発行者や加盟店契約会社等と異なり、加盟店に対する業務改善命令権限は定められていない（同第35条の17参照）。これは、加盟店の是正は、次項で解説する加盟店契約会社等の加盟店調査により図る趣旨と考えられる。

^※5 クレジット取引セキュリティ対策協議会「クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画 - 2016 -【公表版】」（2016年2月23日）（PDF：1.9Mb）
^※6 Payment Card Industry Data Security Standard：カード情報を取扱うすべての事業者に対して国際ブランドが共通で定めたデータセキュリティの国際基準。

1）加盟店契約会社等の登録制度
従来の割販法ではカード発行者のみを登録制の対象としていたが、オフアス取引の一般化とPSPの台頭を踏まえて加盟店契約会社等も登録対象に含めることとした（改正法第35条の17の2）。また、従来の議論では、加盟店契約会社は必要的登録制をとりつつ、PSPの登録は任意としたうえで、加盟店契約会社が登録PSPと業務連携した場合、加盟店調査義務等が軽減されるとの見方がされていた^※7。

しかし、改正法第35条の17の2の法文上は加盟店契約会社とPSPとを区別して規定しておらず、PSPの登録が任意であることを明言する規定はない。もっとも、衆議院および参議院の付帯決議では、決済代行会社について登録が必要となる範囲を明確にすべきとされていることから^※8、すべてのPSPに登録を義務づけるものではなく、省令により合理的な範囲で絞り込みが行われるのではないかと推察される^※9。

2）加盟店契約会社等による販売業者（加盟店等）の調査義務
加盟店の開拓を担う加盟店契約会社やPSPの責任の下で加盟店のセキュリティ強化を推進すべく、改正法では加盟店契約会社等に対して加盟店等の調査義務を課すこととした。すなわち、加盟店契約会社等は、加盟店等のセキュリティ対策等の状況が法律・省令の基準に適合するか調査しなければならない。そして、基準に適合しないまたは適合しないおそれがある場合は、加盟店契約の締結が禁止される。また、既存加盟店に対しても定期的または必要に応じて調査を要し、法律・省令の基準に不適合であること等が判明した場合、加盟店契約の解除等の措置を講じなければならない（改正法第35条の17の18）。

条文では、セキュリティ対策の観点でのみ加盟店を調査すれば足りるようにも思われるが、今般改正の趣旨が悪質加盟店の排除による消費者保護にもある点に鑑みると、悪質加盟店排除のための調査も必要と解される。具体的には、加盟店になろうとする者が扱う商材・商法の確認や、代表者等の反社チェック、JDMチェック^※10等が重要になるのではないかと思料する。

^※7 前掲注※で示した報告書では、PSPは加盟店契約会社に関係なく、独自に加盟店契約を締結できるものではないとしつつ、加盟店契約会社がPSPを効果的に活用できるような制度上の位置づけが必要との観点から、加盟店契約会社の登録は必須とするが、PSPの登録は任意とするよう提言している。そのうえで、加盟店契約会社が登録PSPを活用することで負担義務が軽減されるとのインセンティブを与え、PSPの登録を促すこととしている。
^※8 衆議院・参議院ともに、FinTech企業等の決済代行会社について登録が必要となる範囲を明確にするとともに、海外の加盟店契約会社や決済代行会社が関係する不適正取引などから消費者を保護できるよう適切な対応を行うべき旨の付帯決議がなされている。
^※9 決済代行業者と同様に包括加盟契約の形態で店子管理を行う主体として百貨店・ショッピングセンター等があるが、このような形態まで登録を義務づけることとなった場合は加盟店契約の再整備が必要となる等の影響があるため、省令の動向が注目される。
^※10 加盟店情報交換センターの加盟店情報交換制度による加盟店チェック

今回の改正は加盟店契約会社、PSP、および加盟店への規制を主眼としており、カード発行者への影響は少ない。ただし、衆議院および参議院の付帯決議では、カード決済を利用した悪質加盟店のトラブルを防止するため、消費者からカード発行者に寄せられた苦情が、カード発行者から加盟店契約会社に迅速に伝達されるよう適切に対応すべきとしている。したがって、カード発行者は、オフアス取引に関して会員等から寄せられた苦情を、適切かつ迅速に加盟店契約会社へ連携する仕組みを整備し、運用する必要がある。

1）加盟店調査に係る基準の整備と運用
加盟店契約会社に対しては、加盟店のカード情報漏えい防止対策および不正利用防止対策の適格性、ならびに悪質加盟店ではないことに関する法的な調査義務が課せられることとなった。加盟店契約会社が管理する加盟店数が膨大である点に鑑みると、今般の改正で加盟店調査および必要な是正措置を講ずる義務が法定された影響は非常に大きい。

調査の頻度、方法、程度については経済産業省令を踏まえて決定することとなろうが、法施行に向けて、加盟店調査時の評価基準を整備する必要がある。膨大な加盟店を一律の基準・方法で調査することは合理的ではないし、現実的に不可能である。したがって、割賦販売小委員会の報告書（追補版）が示すように、基準・運用の決定にあたってはリスクベースの考え方を採用するとよいだろう。たとえば、業態、取引件数、取扱金額、カードの利用環境（対面／非対面）等によって、不正利用の影響度や発生可能性は異なるため、いくつかの要素からリスク評価を行い、リスクの高い加盟店から優先して調査する、調査の深度を深める等、効率的かつ実効性のある加盟店調査方法を模索すべきである。

2）登録PSPの活用に係る方針の決定
加盟店調査義務は登録PSPにも課せられることとなるため、PSPが介在する加盟店契約については、登録PSPと加盟店契約会社とで役割を分担して加盟店管理を行うことが想定される。特に店子のように、加盟店契約会社の管理の目が届かず自ら管理義務を負うことが困難なケースでは、積極的に登録PSPを活用することも選択肢の1つとして検討の余地がある。

もっとも、登録PSPを活用する際は、管理義務の負担の軽減というメリットのみならず、デメリットも勘案しなければならない。たとえば、加盟店契約会社と加盟店との間に登録PSPが介在することで、加盟の可否や加盟店割引料率の決定といった、加盟店に対するコントロールは相対的に弱まる。また、登録PSPから加盟店管理を負担することに係る対価を要求されることも考えられる。

したがって、加盟店契約会社が登録PSPを活用することのメリットとデメリットを検討したうえで、どの範囲で登録PSPを活用するのか（もしくは活用しないのか）、自社の特徴を踏まえた登録PSP活用の基本方針を決定する必要があると思われる。

登録制度について法文上は加盟店契約会社とPSPが区別されておらず、PSPのうち登録が必須とされる範囲がどのようになるかは経済産業省令に委ねられる。登録が任意とされた場合は、加盟店審査の実質的権限を保持できる、自らアクワイアリング業務を行う等によりビジネスチャンスが広がるといったメリットと、加盟店の調査・管理の法的義務が生じ、監督官庁の立入検査等の対象となるといったデメリットを比較衡量し、登録するか否かの方針を決定する必要がある。

なお、登録した場合の影響と必要な対応については加盟店契約会社と同様である。

加盟店にはクレジットカード情報の適切な管理義務と不正利用防止義務が課せられる。また、加盟店契約会社の調査によって法令・省令が定める基準に適合していないと判断された場合、加盟店契約を解除される可能性がある。今後、クレジット取引のさらなる増加が予想されることから、クレジット取引ができないことによる機会損失は無視できないであろう。

具体的にいかなる水準のセキュリティ対策が求められるかは、経済産業省令に委ねられるが、割賦販売小委員会の報告書（追補版）では性能規定の考え方が示されている。すなわち、法令や省令では情報漏えい防止や不正利用防止を担保する措置が講じられていること、といったセキュリティ確保に不可欠な性能（機能）のみを示し、その実現手段・方法は最新技術を活かした各事業者の創意工夫に委ねる、というものである。

加盟店の業態や規模によってセキュリティ等のリスクの影響度と発生可能性は異なるため、対策の決定にあたっては各々のリスクと対応コストのバランスを考慮するのが合理的である。また、サイバー攻撃や偽造の脅威とセキュリティ対策は、いわゆる“いたちごっこ”であり、技術の進歩に応じた柔軟な対応を可能とする余地を残すべきである。これらに鑑みると、省令が性能規定の考え方に基づき制定される可能性は否定できない^※11。

その場合、加盟店は自らの業態に応じてリスクを評価し、最適な対策を判断する必要が生じると思われる。法施行までの時間的制約もあるため、加盟店契約会社との連携を密にし、必要に応じて外部専門家を活用する等して、迅速かつ的確に対応できる体制を整えるべきである。また、IC取引対応端末を導入しても、PIN認証を活用せずに磁気ストライプで決済することが横行しては、せっかく整備した対策が機能しないこととなるため、ハード面のみならず教育等のソフト面での対策にも配慮する必要があるだろう。

※11 ただし、前掲注1（追補版）は、性能規定である基準に適合しているかを判断する際の指針として、最新の技術を活用して民間が定める規格を「整合規格」として採用する方針を示している。クレジット取引セキュリティ対策協議会の「クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画 - 2016 -」で定めるカード情報の非保持化、PCI-DSS準拠、IC端末の導入、3Dセキュア等が整合規格として定められる可能性もあり得ると思われる。

今般の割販法改正によって、加盟店契約会社や加盟店は、加盟店管理のあり方の決定やセキュリティ対策の強化等が求められ、大きな影響を受けるといえる。法施行までの限られた時間のなかでの対応が求められるが、事業者ごとに直面するリスクの大きさ等は異なるため、安易に他社の対応方針・対策を流用すべきではない。自社の特徴をしっかりと把握・検討したうえでリスクを評価し、リスクに対応した最適な打ち手を決定したり、打ち手の優先順位を判断したりすることが重要となる。

KPMGコンサルティング株式会社
シニアコンサルタント
松田 洋介