割賦販売法の改正が議論されている。割賦販売法とは「割賦販売(代金を分割払いにして商品を販売する取引)等の制度の健全な発達を図るために必要な規制等を行うことにより、購入者等(消費者)の利益を保護するための法律」(経済産業省)。今国会で可決されれば,2009年上期にも施行される見通しだ。

 法改正の主眼は,一人暮らしのお年寄りなどを狙った悪徳業者の不正行為を取り締まることである。一人ひとりへの融資総額が事実上制限されるかもしれないなど経営へのインパクトが大きく,信販会社などでは議論が巻き起こっている。

 だが,今回の法改正は,IT業界にもインパクトを与えるかもしれない。改正案には,クレジットカード情報の漏えい防止に関する内容が盛り込まれている。クレジットカード決済をするEC(電子商取引)サイトやデータセンター,決済事業者のシステム構築・運用は,見直しを迫られるかもしれない。

 割賦販売法の改正案は,2008年3月7日に政府が閣議決定している。経済産業省の資料から,該当する個所を引用すると,次のようなことが書かれている。

第三章の四クレジットカード番号等の適切な管理
第三十五条の十六 包括信用購入あつせん業者又は二月払購入あつせんを業とする者(以下「クレジットカード等購入あつせん業者」という。)は、経済産業省令で定める基準に従い、その取り扱うクレジットカード番号等(クレジットカード等購入あつせん業者が、その業務上利用者に付与する第二条第三項第一号の番号、記号その他の符号をいう。以下同じ。)の漏えい、滅失又はき損の防止その他のクレジットカード番号等の適切な管理のために必要な措置を講じなければならない。

 この法律が施行されると,クレジットカード決済に携わる事業者は,その情報を適切に管理する義務を負う。おそらく,その中にはシステム対応も含まれる。その際,ポイントとなるのは,条文にある「経済産業省令で定める基準」がどのようなものになるかということだろう。

 情報漏えいを防ぐという意味では,個人情報保護法に似ているが,対象とする情報の範囲が少し違う。個人情報保護法が想定しているのは「氏名」「住所」など個人の特定につながる情報である。クレジットカードには「有効期限」「暗証番号」など個人は特定できないが,金銭的な被害につながる情報が含まれる。

 現在,クレジットカード業界にはVISAやMasterCardが中心となって策定した「PCI DSS(PCIデータセキュリティ基準)」という情報セキュリティに関する基準がある。業界の自主基準ではあるが,国内でも既に年間トランザクションが600万件を超えるような大企業における普及活動が一巡しており,これから中堅・中小事業者への展開を図っていく段階にある。このPCI DSSが「経済産業省令で定める基準」として参考にされる可能性がある。

 ただ,PCI DSSは要件が具体的で,かつ敷居も高い。これをそのまま適用されると中堅・中小事業者では脱落するところが続出しかねない。とは言え,今のところこれに代わる具体的なセキュリティ基準がない。そのまま適用はされないにしても,PCI DSSが何らかの形で考慮されると見る関係者は多い。

 PCI DSSについて,詳しくは2008年2月25日の記者の眼「パスワードは90日ごとの変更」が義務づけられる!?をご覧いただきたい。ここでは,PCI DSSに完全準拠した会社2社の体験から,仮にPCI DSSに準拠しようとすると何がポイントになるのかを考えていくことにしたい。