ネット上でクレジットカードの不正利用が急増、世界標準の仕組みの導入を
ところが、日本の動きが鈍い。現時点で協議会に加盟しているのはIT、ネットワークベンダーなどたった14社。それも「日本を代表するような大手が加盟していない」とPCI SSC日本連絡会会長の山崎文明氏は嘆く。
この背景には、欧米とのクレジットカードに関する業界構造の違いがある。米国ではイシュアー(カード会社)とアクワイヤー(カード加盟店獲得会社)がまったく別法人で、イシュアーは加盟店獲得に対してフィーを支払う一方、加盟店のセキュリティ指導強化に不備があって事故が発生すると、制裁金の支払いや損害賠償を請求できる。
日本ではカード会社のグループ企業が加盟店獲得を行っており、何か問題があってもグループ内で消化してしまうため、訴訟リスクがない。リスク意識が育ちにくい環境にある。
もう一つの問題は、認証を得るためのコストだ。米国の大手流通業者が09年にPCI DSS準拠にかけた費用は10億ドルといわれており、中小業者の中には負担に耐えられないところもあるという。もちろん準拠していれば、不正利用に伴う損失補填や罰金の支払い、究明コスト、訴訟など多くのリスクを回避できる。だが、初期負担が経営を圧迫する例もあり、基準緩和を要求する動きも出ている。
日本国内でも同様だ。クレジットカード産業を統括する経済産業省は、大臣が指定した民間団体のガイドラインに従う、つまり、民間団体に委ねるという姿勢だ。一方、委ねられたクレジット協会では、費用面の問題が大きく、なかなか議論が進まない。グローバルスタンダードへの準拠は望ましいが、不況下で協会加盟企業に後ろ向きのコストを要求しづらい、というのが本音だろう。
だが、ネットショップでのクレジットカードの利用が急速に増える中で、ボット(不正プログラム)によるパソコン上での電子データ詐取と不正利用は増え続け、無視できないレベルになりつつある。消費者側に過失がないと認定されれば損害は補填されはするが、自身が利用していないことを証明しなければならず、また、カードの再発行や公共料金など種々の手続きの煩雑さ、さらには自身の信用レベルの低下といった問題を抱えることになる。消費者保護の観点からも、無視できない。
