この記事はKOMOJUが提供しています。
KOMOJU(コモジュ)は個人から世界的大企業まで様々な事業者が利用している日本の決済プラットフォームです。
割賦販売法は、EC・店舗事業者が商品・サービスの販売時に必ず知っておくべき法律です。分割払いに対応できる決済サービスを導入する場合にも注意が必要です。
割賦販売法は、支払いにおけるトラブルや決済方法の多様化により、改正が行われています。
今回は、インターネットビジネスを主要分野として活躍をされる中崎隆弁護士監修のもと、割賦販売法の概要や目的、2018年6月・2021年4月に施行された改正割賦販売法についてご紹介します。事業者が求められる対応についても解説します。
そもそも割賦販売法とは?
「割賦販売法」とは、割賦販売などの取引の公正さを確保して、購入者の利益を保護すること、そして商品・サービスの提供を円滑にして事業発展を図ることを目的に、1961年(昭和36年)に制定された法律です。
「割賦販売」とは、購入者が商品・サービスの代金を、2ヶ月以上の期間で、かつ3回以上に分割して支払うことを条件に、事業者が商品・サービスを提供することです。具体的には、高額な商品を販売するときに、2年間(24回)で分割払いを受ける取引を「割賦販売」といいます。
また、クレジットカードを利用した支払いも「割賦販売」といわれています。つまり購入者の「信用」をもとにして商品・サービスを提供することです。
割賦販売法の対象範囲は、クレジットカードによる支払いだけではありません。購入者が事業者に直接代金を分割で支払う場合と、ローンを組んで支払う場合も含まれます。
割賦販売法の目的
割賦販売法が制定された目的を簡単に説明すると、クレジットカードやローンなどで商品・サービスを購入する際に発生するトラブルを防止・解決するために制定されました。
割賦販売において、購入者と事業者の間でトラブルは起こりやすいです。たとえば、購入者の支払いが滞って事業者側が代金を回収できなくなったり、事業者側が支払い条件などを明示しないことにより購入者が不当に不利になったりすることもあります。
そのため割賦販売法では、購入者が受ける可能性のある損害の防止や、クレジットカード番号などの適切な管理などに対して、事業者が取るべき必要な措置を明確に定めています。
改正割賦販売法が施行された経緯
ここからは、割賦販売法の一部を改正する法律(改正割賦販売法)について解説します。
割賦販売法は過去に何度も改正が行われています。その背景には、クレジットカード情報の漏洩や不正利用などの被害増加や、クレジットカード以外の決済方法が増えて選択肢が広がったりしていることが挙げられます。
直近の改正割賦販売法を見てみましょう。
2018年6月施行の改正目的|情報漏洩と不正被害の防止・セキュリティ強化
ECサイトでの商品・サービスの提供や購入の増加に伴い、EC加盟店を狙った不正アクセスが増え、クレジットカード情報の漏洩が発生。偽造カードやネット上でのなりすましにより、不正利用の被害が拡大しました。2016年時点の被害額は142億円と、4年間で約2.1倍に拡大しています。
さらに、カード発行を行う会社と加盟店と契約を締結する会社が別会社となる形態(オフアス取引)が増え、加盟店の管理が行き届かないケースが出てきていました。
これらの状況を踏まえ、安心してクレジットカード決済を利用できるように改正されたのが、2018年施行の改正割賦販売法です。
▼措置事項の概要
- 加盟店管理の強化
- クレジットカード情報の適切な管理
- フィンテック参入を見据えた環境整備
参考:「改正割賦販売法について」2018年4月 経済産業省 商取引監督課
2021年4月施行の改正目的|多様な決済方法への対応
さらに改正が必要になったのは、クレジットカード決済以外の決済方法が増えたことが背景にあります。
具体的には、後払い決済サービスが多様化していることや、異業種企業が後払い決済サービスに参入していること、インターネットやスマホ端末での決済利用者が増加していることが挙げられます。
このように決済サービスや提供主体が多様化することで、さらにクレジットカード情報の漏洩リスクが高まっていると懸念されており、改正が行われました。
▼措置事項の概要
- 「認定包括信用購入あつせん業者」の創設
- 「登録少額包括信用購入あつせん業者」の創設
- クレジットカード番号等の適切管理の義務主体の拡充
- 書面交付の電子化
- 業務停止命令の導入
参考:「割賦販売法の一部を改正する法律について(令和2年法律第64号)」令和3年3月 経済産業省 商取引監督課
改正割賦販売法で事業者に求められる対応
これまでご紹介したような割賦販売法の改正により、事業者に求められる対応について解説します。
クレジット取引セキュリティ対策協議会で策定された「クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画」に掲げられた措置、または同等以上の措置を講じることが求められます。
なお、クレジットカードのセキュリティ保護のための社内体制の整備が不十分であった場合、業務停止命令が下ることが決まっています。
対応1 情報漏洩の防止対策としてカード情報の「非保持化」
クレジットカード情報の漏洩により不正利用が増加した背景に、これまで事業者側にクレジットカード情報が記録・保存されるようになっていたことが挙げられます。
事業者側に記録が残っていることで、セキュリティ対策の不十分な事業者を狙った不正アクセスが増えていました。そのため、事業者(加盟店)ではクレジットカード情報を保管しないことが求められるようになりました。
事業者側にクレジットカード情報を保存・処理・通過しないことが条件となります。非対面での販売では、なりすましによる不正利用を防止する対策が必要です。対面での販売においては、ICカードの決済端末の設置が必要になります。
対応2 セキュリティ基準「PCI DSS」への準拠
クレジットカード情報の非保持化を実現できない場合は、「PCI DSS」に準拠することが求められます。
PCI DSSは、国際カードブランド5社(American Express、Discover、JCB、Mastercard®、VISA)が共同で策定した、カード情報に関するセキュリティ基準です。カード会員データの保護や、脆弱性管理プログラムの整備、強力なアクセス制御手法の導入などが要件になっています。
PCI DSS認証の取得には、訪問審査やネットワークスキャンなどを受けることが必要です。決済代行サービスのKOMOJUは、PCI DSS認証を取得している安全安心の決済方法を提供しています。
対応3 決済端末のICカード対応化
なりすまし防止のために、以下の対応が求められています。
- 対面:IC取引を可能とするために設置する決済端末のIC対応化
- 非対面:3-Dセキュア、認証アシスト、セキュリティコードによる本人確認
不正に入手した情報をもとに作られた偽造カードが使用されないよう、ICカードの読み取り端末の導入が義務付けられています。また、オンライン上では本人確認ができるような対策を講じる必要があります。
対応4 書面交付の電子化
割賦販売法では、下記の事項を記載した書面を加盟店が販売時に交付することを義務付けています。
①商品等の現金販売価格、②契約締結時に商品等の引渡し等がない場合は、当該商品の引渡時期、③契約解除の定めがあるときは、その内容、④販売業者の名称及び住所又は電話番号、⑤契約年月日、⑥商品等の種類、⑦商品の数量、⑧販売契約について、相談等を行うことができる相談窓口の名称及び住所又は電話番号、⑨商品販売契約において、役務の提供が条件となっているときは、その役務の内容、提供時期等、⑩役務提供契約において、商品の販売が条件となっているときは、その商品の内容、引渡時期等、⑪商品販売契約において、権利の販売が条件となっているときは、その権利の内容、移転時期等、⑫商品に隠れた瑕疵がある場合の責任についての定めがあるときは、その内容、⑬その他の特約がある場合は、その内容、⑭販売契約が、連鎖販売個人契約又は業務提供誘引販売個人契約であるときは、その旨
スマートフォンやPCでのカード決済が増加していることにより、クレジットカードの利用明細を、従来は書面で交付していましたが、オンラインで完結するサービスの場合「完全電子化」が求められるようになりました。この場合、書面交付をせずに情報提供を電子的にすれば足ります。
書面よりも電子化された明細のほうが、購入者にとって保存や検索がしやすく、事業者にとっても費用や事務コストの面で好都合であることから改正されました。
クレジットカード会社や決済代行会社への影響
改正割賦販売法により、クレジットカード会社や決済代行会社にも影響があります。
- 「クレジットカード番号等取扱契約締結事業者」として経済産業省への登録が必要
- 加盟店への調査や必要な措置を講じることが義務化
- クレジットカード情報の適切な管理、不正利用防止のセキュリティ対策が行われているか
- 悪質取引の有無(購入者との間でトラブルが発生していないか)
上記のような対応が求められています。
調査の結果、条件を満たしていない場合は、初期調査であれば加盟店契約を締結してはいけません。加盟店契約締結後での途上調査であれば、必要な措置を早急に講じる指導も行う必要があります。
EC加盟店におけるセキュリティ対策措置の申告制度
EC加盟店におけるカード情報漏洩事案が頻発していることを受けて、クレジット取引セキュリティ対策協議会では、安全なECサイト構築・運用をするために加盟店がいま講ずべきセキュリティ対策の最重点措置を網羅した「セキュリティ・チェックリスト」を策定しました。
経済産業省および日本クレジット協会からは、2022年10月より新たにクレジットカード決済の導入を予定されているEC加盟店はこの「セキュリティ・チェックリスト」に基づいた、セキュリティ対策措置実施状況に関する申告書の提出を求めるようクレジットカード会社や決済代行会社に要請が出ています。
「セキュリティ・チェックリスト」では、下記のように対策を最重点項目として4つに絞っています。
- 管理者画面のアクセス制限不備と管理者のID/PW管理不足への対策
- データディレクトリの露見に伴う設定不備への対策
- 脆弱性診断またはペネトレーションテストの定期実施、およびWebアプリケーションの脆弱性への対策
- マルウェア対策としてのウイルス対策ソフトの導入、運用の実施
頻発するカード情報漏洩事案の防止のため、加盟店のセキュリティに関する取り組みを後押しする施策の一環として、クレジットカード業界を挙げて、このような申告制度の試行が開始されています。
まとめ|事業者も適切なセキュリティ対策を
今回は割賦販売法の基礎、改正ポイントや求められる対応について解説しました。
割賦販売法の改正により、情報漏洩や不正利用の防止、セキュリティ強化を推し進め、より安心して決済ができるような環境づくりが求められています。
事業者に求められる対応もご紹介しましたので、適切なセキュリティ対策を講じましょう。
【この記事の監修者】
中崎 隆
弁護士
中崎・佐藤法律事務所の代表弁護士。専門は決済に係る規制、インターネットビジネス、クロスボーダー取引の契約交渉など。事務所公式サイト:https://nakasaki-law.com/
この記事はKOMOJUが提供しています。
KOMOJU(コモジュ)は個人から世界的大企業まで様々な事業者が利用している日本の決済プラットフォームです。