〔144〕改正割賦販売法で見直されるカード顧客情報の管理基盤

2008.06.30

　前々回，前回と，迷惑メール対策に関わる法改正について取り上げた。今回は，首相問責決議案が可決された2008年6月11日の参議院で，改正特定商取引法とともに全会一致・可決成立した改正割賦販売法について，カード情報と個人情報の管理の観点から考えてみたい。

カード情報漏えい・不正入手の当事者も刑事罰の対象になる

　改正割賦販売法の特徴は，クレジットカード情報の漏えいやインターネット取引におけるクレジットカードの不正利用による被害を防止するため，クレジット業者等に対して，カード情報の保護のために必要かつ適切な措置を講じることを義務付けるとともに，カード番号等の不正提供・不正取得をした者等を刑事罰の対象とした点だ（「特定商取引に関する法律及び割賦販売法の一部を改正する法律について」参照）。

　第28回で，従業者を対象とする「個人情報漏洩罪」の新設など，個人情報保護法改正をめぐる論議について取り上げたことがある。現行の個人情報保護法で刑事罰の対象になるのは，個人情報の漏えいや不正入手をした当事者本人ではなく，個人情報取扱事業者や認定個人情報保護団体である。だが，改正割賦販売法では，クレジットカード情報の漏えいや不正入手をした当事者も，刑事罰の対象となる。

　過去に起きた個人情報漏えい事件を見ると，個人情報とカード情報がセットで漏えいした結果，インターネット取引で二次被害に至ったケースが目立つ。例えば，第20回および第21回で触れた，不正アクセスによるワコールECサイトからの個人情報漏えい事件の場合，同社のオンラインショップでしかクレジットカードを使ったことのない顧客に，身に覚えのない有料ゲームサイトの請求があったことから，漏えいが発覚している。また，第80回で触れた大日本印刷の外部委託先企業の元社員による個人情報漏えい事件の場合，元社員が漏えいさせたジャックスのクレジットカード会員の個人情報を不正利用したインターネット通販詐欺事件が発端となって，複数企業の個人情報漏えい発覚に至っている。

　成長著しい「消費者向け電子商取引（B2C-EC）」において，顧客情報管理は集客力や収益を左右する経営基盤となっている。今回の法改正でカード情報管理の要求水準が引き上げられれば，クレジットカード決済を利用する個人情報取扱事業者は，個人情報管理のレベルについても見直しせざるを得ないだろう。

個人情報とカード情報を管理するバリューチェーンに注目せよ

　ところで，カード情報や取引情報を保護するために，クレジットカード業界が独自に策定したグローバルセキュリティ基準として「PCI DSS（Payment Card Industry Data Security Standard）」がある。第111回で，PCI DSSの具体的項目を取り上げたことがあるが，ISMS(情報セキュリティマネジメントシステム)認証制度やプライバシーマーク制度と異なるのは，事業者単位にとどまらず，カード発行会社，加盟店，決済データ処理事業者など，顧客のカード／取引情報が流通するバリューチェーン全体を保護の対象にしている点だ。

　消費者保護の観点から，改正割賦販売法でも，一事業者の枠を超えた業界横断的なカード情報の適正管理義務が課せられる予定である。管理義務の直接の規制対象はカード事業者であるが，カード事業者には，取引先である「クレジットカード番号等保有事業者」に対し，クレジットカード番号などを適正に管理するよう指導等の措置を講じることも義務付けられる。クレジットカードによる分割／一括の支払いに関して，カード事業者の加盟店は「クレジットカード番号等保有事業者」に該当し，厳格なカード情報管理が求められることになる。

　振り返ると，経済産業省の所管分野で，個人情報保護法に基づく初の勧告が発動されたのは，カード業界のソニーファイナンスインターナショナルとUFJニコス（現三菱UFJニコス）だった（第86回参照）。いずれも，日米で株式を公開するグローバル企業の成長戦略を担う戦略子会社であり，ソニーは電子マネー，三菱UFJフィナンシャル・グループはネットモバイルという次世代のコンシューマーファイナンスを支えるICT（情報通信技術）基盤構築のために莫大な投資を行っている。両社にとって，カード顧客情報の管理基盤は成長実現のための要になっている。

　このような動向を踏まえながら，個人情報とカード情報をセキュアに管理する横断的なバリューチェーンの社会的役割や将来価値を考えてみたいものだ。カード決済を利用する加盟店の大半は，セキュリティ対策で遅れをとる中堅・中小企業（SMB）であるが，金融／製造／流通業界のみならず，日本のICT産業の成長を左右する潜在市場でもある。ASP／SaaS，BPO（ビジネス・プロセス・アウトソーシング），仮想化など，使えそうな要素技術はたくさんある。

　次回は，消費者庁構想の観点から個人情報保護対策について考えてみたい。

→「個人情報漏えい事件を斬る」の記事一覧へ

■笹原英司 (ささはらえいじ)

【略歴】
IDC Japan ITスペンディングリサーチマネージャー。中堅中小企業（SMB）から大企業，公共部門まで，国内のIT市場動向全般をテーマとして取り組んでいる。医薬学博士

【関連URL】
IDC JapanのWebサイトhttp://www.idcjapan.co.jp/