決済ドメイン知識
法規制とコンプライアンス
決済システム開発に影響する法律・規制・セキュリティ基準
法規制とコンプライアンス
決済システムの開発は、多数の法規制に影響を受けます。「なぜこの要件があるのか」を理解するために、主要な法規制を押さえましょう。
1. 主要な法律
割賦販売法(割販法)
クレジットカード取引を規制する法律です。
| 要件 | 開発への影響 |
|---|---|
| カード番号等の適切管理 | カード番号の非保持化 or PCI DSS準拠 |
| 加盟店の管理義務 | 加盟店審査・管理システム |
| ICカード対応義務 | EMV対応の決済端末・システム |
| セキュリティ対策 | 不正利用防止措置の実装 |
資金決済法
銀行以外の事業者による決済サービスを規制する法律です。
| 区分 | 送金上限 | 該当サービス例 |
|---|---|---|
| 第一種資金移動業 | 上限なし | 大口送金サービス |
| 第二種資金移動業 | 100万円以下 | PayPay、LINE Pay等 |
| 第三種資金移動業 | 5万円以下 | 少額送金特化 |
銀行法
- 銀行業の免許制度
- 電子決済等代行業(オープンバンキング)の規定
- API接続に関する義務
犯罪収益移転防止法(犯収法)
- 本人確認(KYC)の義務
- 疑わしい取引の届出義務
- 取引記録の保存義務(7年間)
2. セキュリティ基準
PCI DSS(Payment Card Industry Data Security Standard)
カード情報を扱うすべての事業者に適用されるセキュリティ基準です。
PCI DSS v4.0 の12要件:
| # | 要件 | 開発への影響 |
|---|---|---|
| 1 | ネットワークセキュリティ管理の導入と維持 | ファイアウォール設定、ネットワーク分離 |
| 2 | すべてのシステムコンポーネントにセキュアな設定を適用 | デフォルト設定の変更、ハードニング |
| 3 | 保存されたアカウントデータの保護 | カード番号の暗号化、保存制限 |
| 4 | オープンな公共ネットワークでの送信時のカード会員データの暗号化 | TLS 1.2以上の強制 |
| 5 | 悪意のあるソフトウェアからの保護 | マルウェア対策、脆弱性管理 |
| 6 | セキュアなシステムとソフトウェアの開発と維持 | セキュアコーディング、脆弱性パッチ |
| 7 | アクセス制御(業務上の必要性による制限) | 最小権限の原則、RBAC |
| 8 | ユーザーの識別とアクセスの認証 | 多要素認証、パスワードポリシー |
| 9 | カード会員データへの物理アクセスの制限 | サーバールーム管理 |
| 10 | ネットワークリソースとカード会員データへのアクセスの追跡と監視 | ログ管理、SIEM |
| 11 | セキュリティシステムとプロセスの定期的なテスト | ペネトレーションテスト、脆弱性スキャン |
| 12 | 情報セキュリティポリシーの維持 | ポリシー文書化、教育 |
開発者が特に意識すべき要件: 要件3(カード番号の暗号化・マスキング・トークナイゼーション)、要件6(セキュアコーディング)、要件10(監査ログ)
カード番号の非保持化
割販法改正により、加盟店はカード番号を「保持しない」ことが原則です。
FISC安全対策基準
金融情報システムセンター(FISC)が策定する、金融機関のシステムに適用される安全対策基準です。
| 区分 | 内容 |
|---|---|
| 技術基準 | システムの可用性、完全性、機密性 |
| 運用基準 | 運用手順、障害対応、バックアップ |
| 設備基準 | データセンターの物理セキュリティ |
主な要件:
- 冗長構成: システム・ネットワークの二重化
- バックアップ: データの定期的なバックアップと遠隔地保管
- 災害対策: DR(ディザスタリカバリ)サイトの設置
- ログ管理: アクセスログ・操作ログの1年以上の保存
- 脆弱性管理: 定期的な脆弱性診断と対策
3. 監督官庁
| 官庁 | 管轄 |
|---|---|
| 金融庁 | 銀行、カード会社、資金移動業者の監督 |
| 経済産業省 | クレジットカード(割販法の所管) |
| 財務省 | 通貨制度、外為管理 |
| 日本銀行 | 決済システムの安定性、考査 |
4. 開発チェックリスト
法規制を踏まえ、決済システム開発で確認すべき項目です。
- カード番号をDBに平文で保存していないか
- カード番号のログ出力をマスキングしているか
- TLS 1.2 以上を使用しているか
- アクセスログを適切に記録しているか
- 取引記録を7年以上保存可能な設計か
- 本人確認(KYC)のワークフローが実装されているか
- 疑わしい取引のモニタリング機能があるか
- 障害時のフェイルオーバーが設計されているか
- 定期的な脆弱性スキャンの仕組みがあるか