この記事は日経 xTECH登録会員限定ですが、2018年5月17日5時まではどなたでもご覧いただけます。
『2018年○月○日に携帯電話(フィーチャーフォン)向けサイトでのクレジットカード決済を廃止します』――。
2018年初め頃から、このようなメールを登録済みのEC(電子商取引)サイトなどから受け取った人は少なくないだろう。「スマートフォンが主流になって、ガラケー(フィーチャーフォン)の利用者が激減したから当然だよな」と納得した人もいるかもしれない。
だが本当の理由は、携帯電話向けEC市場の縮小ではない。法制度への対応である。実際に「割賦販売法の改正に基づくクレジットカード取引のセキュリティ強化のため」と、理由を明記しているECサイトもある。
割賦販売法(割販法)はクレジット決済を規制する法律であり、8年半ぶりの改正法が2018年6月1日に施行される。改正法の主眼の一つが、今も頻発するカード情報の漏えいやカード加盟店での不正使用を防ぐことだ。
改正法の実務上の指針である「実行計画」(クレジット取引セキュリティ対策協議会が策定)では、カード会社に加え、カード加盟店に代わって決済事務を代行する決済代行事業者(PSP:Payment Service Provider)も、カード業界のセキュリティ国際基準「PCI DSS(Payment Card Industry Data Security Standard)」に準拠しなければならないと定めている。
このPCI DSSの最新版では、決済のためにカード会員情報を送受する際には安全性が高いプロトコルとしてTLS(Transport Layer Security)1.2以降を使うことを義務付け、移行期限を2018年6月30日に区切っている。
ところが携帯電話端末は、2014年にセキュリティ脆弱性が見つかったSSL(Secure Sockets Layer)まででソフトウエア更新が止まっている機種が大半だ。SSLの後継であるTLSは実装されていない。このため決済代行事業者は改正割販法を順守するため、携帯電話向けのカード決済を断念せざるを得なくなった。これが、ECサイト各社が相次いで携帯電話向けのカード決済の終了やサイトの閉鎖に踏み切った理由である。
セキュリティ対策の義務を果たさなければ契約解除
だが、改正割販法の影響は、携帯電話向けサイトにとどまらないかもしれない。もしかすると、大量の店舗やECサイトでもカード決済が利用できなくなる恐れがある。
政府は成長戦略である「日本再興戦略 改訂2014」以降、キャッシュレス化の推進を掲げ、キャッシュレス決済比率の引き上げを目指している。最新の「未来投資戦略2017」では、現状で2割程度のキャッシュレス決済比率を2027年6月までに2倍の4割程度に引き上げるというKPI(重要業績指標)を設定。9割弱の韓国、6割の中国には及ばないものの、4~5割の欧米に追いつくことを目指している。だが、もし数多くのカード加盟店でカード決済が利用できなくなれば、目標の達成はおろか、現状の比率の維持さえ危うくなりかねない。
なぜ、そのような事態が起こり得るのか。理由は、625万店(2015年特定サービス産業実態調査報告書)にも及ぶ多数のカード加盟店に対し、改正割販法に基づいて新たに「義務」が課せられたことが十分に周知されていないことにある。
改正割販法は、カード加盟店でのカード情報漏えいと不正使用を防ぐために、加盟店に対しカード情報の適切な管理と不正使用の防止を義務付けた。さらに、加盟店契約会社(アクワイアラー)とPSPには登録制を導入し、顧客である加盟店の対策状況を調査し必要な措置を取ることを義務付けた。この必要な措置には、管理状況の是正指導などに加えて、加盟店契約の解除が含まれる。
つまり、対策が不十分で改正割販法上の義務を果たしていない加盟店は、加盟店契約を解除され、カード決済手段を顧客に提供できなくなる。その加盟店では、カードで買い物ができなくなるわけだ。