実行計画の着実な遂行が求められる加盟店
では、加盟店はカード番号等を適切に管理するために何をする必要があるかというと、それは実行計画に定められたように、カード番号等の非保持かPCI DSS への準拠である。法律には非保持・PCI DSSという言葉は出てこないが、これはセキュリティ対策は不正の手口の変化や技術の進歩に合わせて変わるものなので、数年に1度の見直ししか行われない法令で規定すべきではないと考えたからだ。「追補版」では「性能規定」というコンセプトを打ち出しており、法律や政省令では求められる性能だけを規定し、その性能を確保するための手法は事業者の裁量に委ねる考えを明らかにしていた。セキュリティ対策の場合は、実行計画があるので、実行計画が事業者にとってのメルクマールになるわけだ。経済産業省は「監督の基本方針」でカード会社や加盟店が実行計画に則って対策を講じているかどうかをチェックしていく方針を示す考えでいる。
セキュリティ対策を求めるもう1つの条文である35条の17の15は、不正利用防止義務を課すものだ。加盟店は「クレジット番号等の不正な利用を防止するために必要な措置を講じなければならない」とされた。具体的な対策はやはり実行計画に定められており、対面加盟店においては決済端末のIC対応であり、非対面加盟店においては多面的・重層的な本人認証の仕組み、すなわちセキュリティコードやパスワードによる認証を実装することである。それによって、偽造カードによる不正使用や、ネット上での「なりすまし」を防ぐことを加盟店に求めている。
不正防止対策についても、経済産業省は加盟店に報告徴収や立ち入り検査ができる。問題があれば、カード会社を通じて改善・是正を求めていくことになる。
このように、今回の改正は、割賦販売小委員会の2つの報告書に基づき、アクワイアラとPSPの登録制と加盟店調査義務が導入され、加盟店にセキュリティ対策を講ずる法的な義務が直接課せられるようになった点が最も大きなポイントだといえる。登録制や加盟店調査義務は、当初の議論では悪質加盟店の排除を目的としていたが、セキュリティ対策が喫緊の課題と意識されるようになったことで、加盟店のセキュリティ対策を促す重要なメカニズムとして活用されることが企図されたといえるのではないか。加盟店調査義務を定めた35条の17の8は、法文上はむしろセキュリティ対策が適切に行われているかどうかをチェックすることが主眼であるように読めるほどだ(もちろん、悪質加盟店排除の観点からの調査義務も行わなければならない)。
今回の割賦販売法の改正の影響を最も受けるのは、何といっても加盟店だろう。セキュリティ対策が法的に義務付けられた以上、実行計画に則って着実にセキュリティ対策を講じていくことが不可欠である。
問題は実行計画の期限と法施行の予定(遅くとも2018年6月8日まで)が若干異なるため、法施行時にはまだ非保持・PCI DSS準拠、IC対応が整っていない加盟店が多数出てくる事態が想定されることだ。もっとも、経済産業省も改正法施行時に対策が完了していなくても、実行計画に基づいて対策を検討していたり、準備をしていたりするのであれば、直ちに法令違反と捉える考えはないようだ。だが、何もアクションを起こしていないというのであれば、アクワイアラやPSPを通じて改善を求めることになるだろう。
経済産業省は加盟店の対策を促進するため、2016年度の第2次補正予算において「クレジット取引におけるセキュリティ対策推進事業」として、ASP/クラウドセンターを構築する業界団体に総額10億円の助成を行うことを決め、中堅・中小スーパーマーケット業界(シジシージャパン)とホテル業界(日本ホテル協会)に資金的援助が行われることになった。新たに構築される共同決済システムには他業態が相乗りする可能性もあり、こうしたインフラが整備されるにしたがって、加盟店のセキュリティ対策も進展していくことだろう。
大手PSP の存在感がますます高まる
改正の影響としては、もう1つ、大手PSPの台頭も予想される。PSPの登録は必須ではなく任意であるが、加盟店調査や加盟店契約の可否の判断、問題ある加盟店の解除などにつき、実質的に権限を有して主体的に行うPSPは登録する必要があるという。無登録のPSPはそうした権限は持たず、アクワイアラの指示に従って業務を行うポジションしか与えられない。
そうであれば、大手のPSPは登録し、アクワイアラと同等の権限を行使しようとするだろう。自ら国際ブランドに加入する道もあるだろう。法文上、アクワイアラと登録PSPの違いはない。登録PSPとアクワイアラはほとんど同質化していくと思われる。
登録PSPが地銀と連携し、地銀のアクワイアリングをサポートするビジネスモデルも普及するのではないか。地銀の国際ブランドのライセンスと取引網を利用し、実質的には登録PSPがアクワイアリングを行うという方法論である。このスキームであれば、地銀はアクワイアラとして登録する義務も加盟店調査を行う義務も免除される。 地銀がデビットカード事業を本格化するとともに、地方創生を目的に加盟店に対する送客サービスを展開する必要性を感じ始めれば、こうした新しいビジネスモデルが注目されるはずだ。
加盟店の共同決済システムに補助金を支給する政策も
今回の改正では、加盟店に課せられていた、カード利用時(リボ・分割など、マンスリークリアは含まない)の書面交付義務が緩和され、電子メールなどによる情報提供で済ますことができるようになった。この措置により、スマートフォンを決済端末として活用する、いわゆるmPOS(エムポス)が導入しやすくなる。セキュリティ対策とともに、mPOSのようなFinTechを含めた決済ソリューションを加盟店にいかに提供していけるか、アクワイアラやPSPにはそうした構想力が求められるようになるだろう。
