ページの先頭です

割賦販売法の改正に関するお知らせ

2018年6月1日に「割賦販売法の一部を改正する法律」(改正割賦販売法)が施行され、クレジットカードを取り扱う加盟店において、「クレジットカード番号等の適切な管理」や「クレジットカード番号の不正利用の防止」を講じることが義務付けられました。

これに関連して、この法律を所管する経済産業省より、カード会社との間で契約を締結している加盟店様に対して、改正割賦販売法について周知するよう要請がありました。

加盟店様にご対応いただくこと

[1]クレジットカード情報保護対策として原則「カード情報の非保持化(※1)」をすること。カード番号等を保持するのであればカード情報セキュリティの国際基準であるPCI DSS(※2)に準拠すること。

[2]クレジット偽造防止による不正利用対策としてICカードによる決済ができる端末を設置すること。非対面取引におけるクレジットカードの不正利用対策として、なりすましによる不正利用を防止するための対策をとること。

  • 1 「カード情報の非保持化」とは、「カード情報」を電磁的に送受信しないこと、すなわち加盟店様で保有する機器・ネットワークにおいて「カード情報」を電磁的情報として「保存」、「処理」、「通過」しないことをいいます。なお、紙やスキャンデータ、音声データ等でカード情報を保持していても、それをもって「保持」とはみなされません。
  • 2 「PCI DSS」とは、クレジットカード会員データを安全に取り扱う事を目的として策定された国際基準です。詳しくは、日本カード情報セキュリティ協議会のホームページをご参照ください。
  • 別ウィンドウで、日本カード情報セキュリティ協議会のホームページへリンクします。

店頭販売加盟店様

【決済専用端末(CCT)を設置している加盟店様】

  • ICカードに対応した決済専用端末(カードを差し込んでデータを読み取り、暗証番号を入力する方式)を設置し、外部の情報処理センター等に直接伝送している場合は、すでにクレジットカード情報保護対策やクレジットカード偽造防止による不正利用対策の対応が済んでいますので、新たな対応は必要ありません。
  • ICカードが読み取れない端末の場合は、ICカードが読み取れる端末への置換えが必要です。

【POSシステムと端末間で、取引金額、決済結果等を連動させている加盟店様】

クレジットカード情報保護対策については、POSシステム等にカード情報を連携せずに、端末から直接外部の情報処理センター等に伝送している場合は、非保持化(上の非保持化の定義と同等、および相当のセキュリティ措置を含む。以下同じ。)の扱いとなります。カード情報をPOSシステム等に連携している場合は、PCI DSS準拠が必要です。

  • ICカードに対応した決済端末(暗証番号の入力方式)が設置されている場合は、クレジットカード偽造防止による不正利用対策がすでに済んでいますので、新たな対応は必要ありません。
  • ICカードに対応していない端末の場合は、ICカードに対応した端末への置換えが必要です。

ご不明な点があれば、POS機器メーカーにお問い合わせください。

【カード処理機能を持ったPOSを設置している加盟店様】

カード情報の漏えい対策については、非保持化またはPCI DSS準拠が必要です。

  • ICカードに対応したPOS(暗証番号を入力する方式)が設置されている場合は、クレジット偽造防止による不正利用対策がすでに済んでいますので、新たな不正使用対策(偽造防止対策)は必要ありません。
  • ICカードに対応していないPOS(スワイプして磁気で読み取る方式)の場合は、ICカードに対応したPOSに置換えを行うか、ICカードに対応した決済端末を導入し、POSに接続する必要があります。

ご不明な点があれば、POS機器メーカーにお問い合わせください。

通信販売加盟店様

クレジットカード情報保護対策については、非保持化またはPCI DSS準拠が必要です。

  • 通信販売加盟店様において、決済代行業者(PSP)が提供するシステムを利用される場合があります。この場合、加盟店の機器・ネットワークを通過する「通過型」と、通過しない「非通過型」に大別されますが、通過型の場合には、カード情報を窃取されるリスクがあるため、「非通過型」を推奨しています。どちらの仕組みを導入しているかは、契約先の決済代行業者にご確認ください。なお、「通過型」の場合は、カード情報を保持することになりますので、通信販売加盟店様においてPCI DSS準拠が必要です。
  • 非対面取引におけるクレジットカードの不正利用対策各加盟店の業種・取扱商材、リスクの状況に応じて、不正利用対策をする必要があります。パスワードの入力等により本人が利用していることを確認できる仕組みや、申込者の過去の取引情報などから不正な取引かどうかを判定する手法の導入等、対応ください。
クレジットカード番号等の適切な管理に関するお願い
  • クレジットカード番号等は機密情報として適切な管理をお願いします。
  • 万が一、貴店または貴店の委託先でクレジットカード番号等の漏えいや紛失等が発生した場合、または、そのおそれがある場合には、速やかに当社までご連絡をお願いします。
  • 貴店または貴店の委託先でクレジットカード番号等の漏えい・紛失等が発生した場合には、当社は貴店または貴店の委託先に対して、類似の漏えい・紛失等の事故が再発しないための対策措置をお願いすることとなります。
次の場合は必ず速やかにご連絡ください
  • 個人の場合:氏名、住所、電話番号、法人の場合:名称、住所、電話番号、法人番号、代表者の氏名に変更がある場合
  • 店舗名 、取扱商品等の種類、業種に変更がある場合
  • 店頭販売・通信販売等の販売方法の変更がある場合
  • 「特定商取引に関する法律」に定められる訪問販売、電話勧誘販売、特定継続的役務取引、連鎖販売取引、業務提供誘引販売取引のいずれかを行っている場合
  • 決済端末機のIC対応状況等、不正利用対策の状況に変更がある場合
  • 加盟店の業務の全部もしくは一部を第三者に委託(※3)される場合、委託先を変更される場合、またはクレジットカード番号等の適切な管理のために必要な委託先に対する指導その他の措置に変更がある場合
  • クレジットカード番号等の保持状況(保持・非保持・非保持同等/相当)に変更がある場合(※4)、またはクレジットカード番号等を保持している場合においてPCI DSS準拠状況に変更がある場合(※5)

上記の場合は、必ず速やかに、カードアシストデスクまでご連絡ください。

  • 3 事前にJCBが委託を承諾した場合のみ
  • 4 「クレジットカード番号等の保持」とは、決済端末機以外(POSやネットワーク等)にて、クレジットカード番号等をデータで送受信することをいいます。
    (例)POSでクレジットカード情報の読み取りをしている。サーバーにクレジットカード番号を保存している。
    「非保持同等/相当」とは、暗号化等の処理によりカード番号を特定できない状態、かつ自社内で復元できない仕組みにて、「非保持」と同等/相当のセキュリティが確保できている状態をいいます。
    (例)PCI P2PE(PCI Point to Point Encryption)
    クレジットカード番号等の保持状況に関する詳細情報は、「クレジット取引セキュリティ対策協議会」の「実行計画」をご参照ください。
    日本クレジット協会
  • 5 「PCI DSS」とは、カード情報のセキュリティを強化するために、JCBを含めた国際ペイメントブランド5社が共同で策定した、クレジット業界におけるグローバルセキュリティ基準です。PCI DSSに関する詳細情報は、日本カード情報セキュリティ協議会のホームページをご参照ください。
    日本カード情報セキュリティ協議会のホームページはこちら
最新の加盟店規約について

最新の加盟店規約は、JCB加盟店サイトをご確認ください。
最新の加盟店規約はこちら

クレジットカード取扱において傘下の店子(テナント等)の売り上げが含まれている場合

貴社が包括代理人で店子(テナント等)のカード売上も含まれている場合は、貴社から店子へも本内容を周知してください。

<一般社団法人日本クレジット協会ホームページ>

改正割賦販売法

その他

<お問い合わせ>
カードアシストデスク
東京 0422-44-2500 大阪 06-6943-7699
福岡 092-732-7500 札幌 011-271-1711
受付時間/(月~金)10:00AM~6:00PM (土)10:00AM~5:00PM
日・祝・年末年始休

PDFファイルをご覧いただくためにはAdobe Reader日本語版(無償)が必要です。
最新版のAdobe Readerをダウンロードするにはアイコンをクリックしてください。

Get Adobe Reader

ページの先頭へ