経済産業省
文字サイズ変更

産業構造審議会 商務流通情報分科会 割賦販売小委員会(第14回)‐議事要旨

日時:平成28年4月4日(月曜日)15時00分~17時30分
場所:経済産業省別館3階312共用会議室

出席者

委員
池本 誠司 日本弁護士会連合会消費者問題対策委員会委員
岩崎 薫里 日本総合研究所調査部上席主任研究員
大谷 聖子 日本消費生活アドバイザー・コンサルタント・相談員協会消費者相談室副室長
尾島 茂樹 名古屋大学大学院法学研究科教授
小塚 荘一郎 学習院大学法学部教授
沢田 登志子 一般社団法人ECネットワーク理事
鈴木 基代 独立行政法人国民生活センター相談情報部長
二村 浩一 山下・柘・二村法律事務所弁護士
藤原 靜雄 中央大学法務研究科長教授
丸山 絵美子 名古屋大学大学院法学研究科教授
山本 豊 京都大学大学院法学研究科教授
専門委員
與口 真三 一般社団法人日本クレジット協会理事・事務局長
オブザーバー
赤松 憲 日本百貨店協会カードビジネス委員会委員長(株式会社三越伊勢丹ホールディングス取締役常務執行役員)
浅沼 清保 イオンクレジットサービス株式会社取締役兼常務執行役員営業本部長
沖田 貴史 SBI大学院大学特任教授
桜町 道雄 消費者庁取引対策課長
島貫 和久 三菱UFJニコス株式会社常務執行役員営業本部ECビジネスユニット長
杉本 直栄 株式会社ジャックス相談役
万場 徹 公益社団法人日本通信販売協会常務理事
吉岡 優 GMOペイメントゲートウェイ株式会社上席執行役員統括部長

議題

  • クレジットカード取引におけるセキュリティ強化について

議事概要

「産業・金融・IT融合に関する研究会(いわゆるFinTech研究会)」での議論について経済産業政策局産業資金福本課長から、「クレジット取引セキュリティ対策協議会」の実行計画について事務局と日本クレジット協会の與口理事から、重要インフラとしてのサイバーセキュリティ対策について内閣サイバーセキュリティセンターの三角参事官から、クレジット分野におけるサイバー攻撃の現状についてペイメントカードフォレンジックスの大河内フォレンジック・シニアコンサルタントから、IC化に関する諸外国調査結果について日本クレジットカード協会の星野事務局長から、クレジットカード取引のセキュリティ強化に係る論点について事務局から説明があり、その後、討議が行われた。その概要は以下のとおり。

  • 技術的な部分と業界の実態の部分で質問がある。資料3の5ページには、クレジット取引の不正使用額が2015年に120億円であった旨、記載されているが、この不正使用分についてはカード会社が負担しているのか。負担の方法についてはカード保険を利用しているのか。また、件数にするとどのくらいの不正使用が生じているのか。ペイメントカードフォレンジックスから説明のあった件数が、それに当たるのか。
  • 資料3の14ページについて、加盟店がカード情報をどうしても持たなければいけない状況とはどのような場合か。毎月自動決済する場合等か。また、加盟店のうちカード番号を持たなければならないものは何割くらいなのか。
  • 資料3の16ページについて、IC対応端末が17%というのは驚き。端末のIC対応化を進めるため加盟店に働きかけるのはアクワイアラーという認識だが、アクワイアラーはどのくらいいるのか。
     という質問があり、事務局から
  • 不正使用についての件数は把握していない。
  • カード会社の負担の方法について保険でカバーしているものもあれば、いわゆる自家保険で対応しているものもある。
  • また、ペイメントカードフォレンジックスから説明のあった件数については、漏えいした件数であり、不正使用に係る件数そのものではない。
  • アクワイアラーの社数については、イシュアーとして登録しているものが260社あるところ、そのうち200社程度がアクワイアリングも行っているものと認識。専業者については、把握しているのは10社程度。海外のアクワイアラーで国内加盟店を有しているものについては捕捉し切れていない。
     という回答があり、日本クレジット協会から、
  • PCIDSS準拠について、POSを使っている大手加盟店で、カード情報を決済だけではなく顧客管理や販売促進に使っている場合には、カード番号を保持せざるを得ないという声が出ている。実態として、どれくらいの加盟店が保持せざるを得ないかは承知していない。
     という回答があった。
  • 昨年公表した報告書では、カード番号単体の扱いについて、個人情報保護法で措置の対象となるか否かにつき、場合分けして議論していた。今般の審議会では、カード番号が個人情報の対象となるか否かは一先ずおいて、平成20年改正において実現を意図した法益、あるいは規律内容について個人情報保護法に委ねて実現することができるのか、一般法としての個人情報保護法に委ねることができることは何か、また、キャッシュレス社会を目指す上で割販法において何ができるのか整理すべき。
  • 今回の個人情報保護法改正によって、法の適用対象につき5000人の裾切りはなくなったが、EUの個人データ保護規則においても、対象となる事業者につき、従業員数や、データ処理の規定内容によってかなりの配慮をしているものと認識。日本でも、個人情報保護法に係るガイドラインによって、クレジット業界に相応しい負担軽減を図る方法があるはず。そのような観点からも、個別業界の実態について精査したほうがよい。
  • カード番号の非保持化等、技術でできることは技術で対処すべきというのが世界標準になっていくだろう。技術を利用すべき対応措置と一般法として全体に求められる対応措置とでは違うところがあるだろう。そのような観点からも、一般法に対する個別法としての割販法で何ができるか整理すべきではないか。
     という意見があった。
  • 消費者の自己責任である事項を事業者に転嫁するのは反対だが、セキュリティは消費者の自助努力では対応のしようがないため、公権力を発動することもやむを得ない。
  • 海外に向けてECで販売を行う事業者は増えていかなければならないが、こうした事業者はEU域内の消費者の個人情報を持つこともある。国際性の観点では、万が一、こうした消費者のカード番号が漏えいした場合には、EU法制の定義の部分ではカード番号は個人情報ということになっているため、日本の事業者にEU当局から制裁金が課され得るということも考えるべきではないか。宿泊予約等、海外旅行客の情報を預かってしまう加盟店も存在するはず。日本の事業者にあまり当事者意識がないことを踏まえると、その点からも加盟店に対する啓発が必要ではないか。また、日本の国内法においても、同様に制裁といった措置をとってもよいのではないか。
     という意見があった。
  • 別の委員が言ったように、個人情報保護法と比較して割販法でやるべきことを検討するのに反対ではない。
  • しかし、個人情報保護委員会は、EUのパーソナルデータの定義の中に決済用のツールが含まれていることをもって、改正個人情報保護法においてカード番号を政令指定してはどうか検討しているという認識だが、そもそも今の個人情報保護法とEUにおける個人情報保護法令の義務内容、建て付けが同じなのかという点に疑問がある。日本クレジット協会としては、改正個人情報保護法においてカード番号が対象となることについて反対する立場で、個人情報保護委員会と調整しているということをお伝えしておく。
  • 前回までの割販小委では、不正使用対策は法規制になじまないという議論が行われていたことを踏まえると、加盟店に義務付けをするとしても、加盟店のリスクに応じた対応が許容されるようにしていくべきではないか。
  • 資料7(2)について、日本クレジット協会のクレジット取引セキュリティ対策協議会の議論を踏まえ、カード会社としてこれからどのように加盟店におけるセキュリティ対策を推進するか検討しているところ。今回の審議会における提案は、カード会社が加盟店のセキュリティ対策の状況を確認するということそのものより、加盟店における安全性をいかに確保するかという点が重要であると理解。日本クレジット協会としても、同じ目標に向かって、加盟店の規模や、被害の発生状況を踏まえ優先順位をつけて対応したい。対応の時期や、方法、対象範囲については検討させていただきたい。
  • また、カード会社が加盟店におけるカード番号の適切管理体制について確認するとした時、実際に加盟店からカード番号が流出した場合にアクワイアラーに結果責任が課されることがあるのか懸念している。この点についても、検討していきたい。
     という意見があった。
  • 今回の論点提示では、カード番号の適切管理について、割販法の中で義務として位置付けたらどうかとされているが、その方向性をとるべきと考えている。
  • 個人情報保護法は個人のプライバシーの観点から措置を課しており、もともと第三者に転々流通することを予定していない。一方、カード番号は決済の中で使用されるため、転々流通する性質を持っている。このような性質が個人情報保護法の趣旨ときれいにかみ合っていない。
  • 正常な利用は迅速に認め、不正な利用は排除するという観点で見ることが重要。ただし、加盟店の中には、中小企業もあり、全ての事業者を対象として義務を課すことには実効性がないし、そのような義務を課してしまうと法令の信頼を失ってしまう。事業者のリスクに応じた対応が重要。基準を示した上で、各事業者の創意工夫の中で実効的な方策を見つけていくということが重要ではないか。
     という意見があった。
  • セキュリティ対策を強化するという方向性については消費者としても賛成。ただし、強化するということのみならず、カードを利用する消費者への情報提供や教育が重要ではないか。
  • 加盟店におけるセキュリティ対策の強化について主体の範囲を限定することについては、消費者の立場からすると望ましくはないが、IC化や被害の実態を見極めた上で、慎重に検討することが必要だろう。
     という意見があった。
  • 資料5では、PFIs制度によって5大国際ブランド共通の対応が可能となっているが、銀聯カードへの対応はどうなっているのか。
     という質問があったところ、ペイメントカードフォレンジックスから、
  • 銀聯にも漏えいはあるが、漏えいしたものについては、どこかのアクワイアラーが紐付いている。VMJがイニシアティブをとって対応しているのが現状。
     という回答があった。
  • 資料7では、加盟店に一定の義務を課すことが示されているところ、そうした方向性に反対するわけではないが、何をしたら対策をとっているということになるのか示されないと、かえって混乱が大きくなるのではないか。加盟店における安全対策といっても何をやったらいいかわからないことが多いのではないか。業界でのスタンダードの開発と、その推奨が望ましい。
  • このような問題に一律の理想形はないのではないか。カード番号についても、保持することもしないことも、どちらがいいというわけではない。各事業者の体制や知識によって、対応コストも異なる。不正使用について、保険という方法でリスクを転嫁することもしないことも、事業者に応じた適切な対応があるのではないか。状況を総合判断した上で適切な対策を行うということで、NISCの機能保証という考え方もそうしたことを求めているのではないか。
     という意見があった。
  • 基本的に事務局から提案された内容で検討していくことが重要ではないかという印象をもった。
  • 加盟店におけるセキュリティ対策について、努力義務に留まらない義務を考えてもよいのではないか。カード番号を保持する主体として、加盟店に限らずサービスプロバイダーについても言及があった。主体をどう定義するのか意識しながら、効果的な対策がとれればよいのではないか。
  • 義務違反に対する制裁については、どこまでやればよいのか効果との兼ね合いを考えるべき。内容として、罰金ではなく行政指導、命令による対処もあり得る。
  • 定めるべき義務は、制裁の在り方にも影響するのではないか。アクワイアラー等を経由した加盟店のセキュリティ対策の強化についても、どのような結果に結びつくのか明らかにする必要があるのではないか。諸外国では、アクワイアラーと加盟店が契約するときに、加盟店にリスクを転嫁する契約が多いものと認識しているが、日本はそうではないため、このような規制が日本における現状に対応するかわからない。その前提としてセキュリティ対策の状況がどうなっているのか調べる必要もあるのではないか。
     という意見があった。
  • セキュリティ対策における消費者の利益とは何か、消費者サイドの人と考えたい。厳しいセキュリティ対策をしていないとカードが使えないということになれば、加盟店がなくなっていってしまう。それが消費者にとって望ましい世界なのか考えるべき。
     という意見があった。
  • アクワイアラー等による加盟店調査について、現実問題として大規模に展開している加盟店のセキュリティ対策を調査するのは不可能に近い。慎重な検討をしなければ、アクワイアラー等が履行できない義務を課すことにもなりかねない。
     という意見があった。
  • 資料3に民間最終消費支出に占めるクレジットカード取引の割合が増えていることが示されているが、まだ低い水準であるというデータもある。消費者にとって一番の不安はセキュリティだと思う。これから、キャッシュレス社会に進むためにはセキュリティ対策は必須。一方で、加盟店に情報管理に係る過度の負担を課してしまえば、加盟店がクレジットカードの取扱いを躊躇するということにもなってしまう。これは消費者の利益にとってよくないという議論もある。こうした2つのジレンマについて、どうやってバランスをとっていくのかということが重要。
     という意見があった。
  • セキュリティ対策については法規制もやむを得ないと考えるが、一方で実際に何を法律に書くのかというところは難しい。適切な対応が何なのかわからなければ対応がとれない。PCIDSSについても、技術中立性の観点や、これが最適な選択肢か必ずしもわからないことを踏まえると、法律に書くことには違和感がある。そうした規制ではなく、カード番号を持ってないなら持っていないということ、PCIDSSに準拠しているならば準拠しているということ、或いはPCIDSSには準拠していないがISMSを取得していること等、そのような事項に関する表示義務を課すということは考えられないか。前回まで議論していた特商法における表示義務と負担は変わらないが、有効性という点からはより効果的ではないか。加盟店については特商法で検討するほうが現実的なのではないか。選択肢の一つとして考えてほしい。
  • 不正使用対策については法律で対応することは難しい。まだ情報が足りないという印象。対面に関しては、IC化を進めてほしい。利便性という観点からもサインは面倒。非対面については、パスワード等の入力がない方が便利。なりすましをされることは避けたいが、自らがカードを使用していないことを主張できれば加盟店かカード会社が不正使用分を補填してくれている。消費者の事情は関係ないのではないか。
  • 確認すべきは、むしろ加盟店の対応。不正使用被害を請求されてしまった加盟店の実態や、加盟店における対応策等の事情、実態がわからないと、どのような対応をすべきか見えてこないのではないか。
     という意見があったところ、別の委員から
  • 前回までの審議では、加盟店にどのような義務を課すべきかわからないから努力義務にしようとしたものと認識しているが、その後クレジット取引セキュリティ対策協議会でも中身の濃い議論があり、具体的な実行計画が作られた。なすべきことは見えてきた段階ではないかと思われる。ただし、様々な分野に加盟店がいるため、自主的に行ってほしいといっても進まない。その場合も、法律で詳細なセキュリティの水準について規定するのではなく、具体的には政省令において規定し、時期によって見直すことが必要だろう。
  • セキュリティ対策について消極的な意見があったが、加盟店に働きかけするのはカード会社であることを踏まえると、不正使用があった場合にはすぐに処分するという話ではないのだから、カード会社や消費者に対する啓発という意味も含めて、全体として実行計画を実現するため、加盟店に対しても一定の義務を課すという規定を明示することが必要ではないか。
  • また、アクワイアラーが200社程度あるとすれば足並みがそろうのか疑問が残る。前回までの議論では、イシュアーにおけるマンスリークリア取引に係るトラブルへの対応が各社によってばらつきがあった。この問題についても最低限の線引きをして、事業者の取組を後押しする形で対応すべきではないか。
     という意見があった。
  • キャッシュレス社会を実現するため、クレジットカード加盟店が増えていかなければならないのが前提。この時、クレジットカードシステムには加盟店は不可欠のプレイヤーであるが、一方で加盟店にとってはクレジットカードを取り扱うことは不可欠の要素ではない。いろいろな義務を課すことによって、カードを取り扱わない事業者が多くなるということになると、キャッシュレス社会に逆行してしまうので、配慮が必要ではないか。
     という意見があった。
  • セキュリティ対策の強化については大いに賛成だが、一方で日本の消費者は利便性には関心が高いが、安心安全に係る認識が甘いのではないか。消費者がPINよりサインの法が安全と誤解しているということもあった。加盟店側にも消費者が使ってくれるからいいだろうという発想もある。安心安全に係る加盟店の取組を見える化することによって、消費者の認識も高まるのではないか。
     という意見があった。
  • 冒頭にある委員から質問のあった事項として、カード番号の非保持化ができない事例について説明したい。かつてはカード番号の保持が必要とされることが多かったが、現在では多くのPSPが非保持のまま決済できるサービスを提供している。こうした問題については、コストと利便性が両立しなければならないが、FinTech事業者がそうした課題を解決していくだろう。
  • 資料3の14ページに記載されているとおり、クレジット取引セキュリティ対策協議会において、カード番号の非保持等について、具体的な目標が設定されていることはすばらしい。その上で、資料7における論点は、現状の取組で十分なのかというところに尽きる。
  • これについて、現状カード番号の非保持化がどのくらい進んでいるのか。今後対応すべきなのは、原則としてリンク型かトークナイゼーション型だとすると、対応済のものはかなり少ないという認識。店ベースまたは取引ベースでの対応状況について、日本クレジット協会やEC決済協議会で業界全体の数字について、もし無理なら個社ベースででも構わないので、状況を教えてほしい。
     という質問があったところ、日本クレジット協会より
  • 数字がないため、わからない。
     という回答があり、別のオブザーバーから
  • 数字がないため、わからない。
     という回答があった。

最後に、委員長より、

  • 事務局の示した論点について、内容については多様だったが、検討はすべきという意見が多かった。事務局で意見を整理して示してほしい。
  • 昨年7月に示した報告書においても、上乗せの規制はあり得るという議論はあったものと認識。不正使用対策については、検討をする必要があるという点では、大きな仕切り直しとなったが、前回報告書を示してからの、この問題についての世の中の関心が高まった結果である。
  • 資料7の(1)と(2)には論理的な関係があるようにも感じた。加盟店に直接の義務がかかってないのに、アクワイアラーが加盟店を調査することができるのかという点についても、事務局で整理して示してほしい。
     という発言があった。

以上

関連リンク

お問合せ先

商務情報政策局 商務流通保安グループ 商取引監督課

 
最終更新日:2016年4月12日
経済産業省 〒100-8901 東京都千代田区霞が関1-3-1 代表電話 03-3501-1511
Copyright Ministry of Economy, Trade and Industry. All Rights Reserved.