EMV3Dセキュア(3Dセキュア2.0)における個人情報保護の観点で必要な対応
【EC決済サービス(ルミーズ)に関する内容です】
EMV3Dセキュア(3Dセキュア2.0)では、リスクベース認証と呼ばれる仕組みが採用されています。
リスクベース認証では、消費者様が取引に使うデバイス情報(接続元IPアドレス、デバイスのOS、ブラウザの言語設定、バージョン情報等)や、取引情報(任意パラメータの項目。例:注文主やお届け先情報等)を取り扱いますが、これらは個人情報になり得るデータです。
上記データは、カード発行会社に提供され、リスクベース認証で利用されます。
加盟店様で必要な対応
上記データをカード発行会社に提供するためには、加盟店様が個人情報保護法上の個人情報取扱事業者として、法令および関連するガイドラインが定める基準に沿って、取引を行う必要があります。
具体的には、ご注文や会員登録の際に、個人情報の利用目的と第三者提供に関する表明を行い、消費者様の同意を取得したうえで、クレジットカード情報の入力画面へ遷移する等の対応が必要です。
取引情報は、ルミーズのインターフェース仕様書「EMV3DSecure部」のうち、加盟店様ご利用のショッピングカートシステムで設定される項目に該当します。同意取得にあたっては、加盟店様のシステムで取り扱う具体的な項目の内容を明示してください。
上記の詳しい内容と、加盟店様で必要な対応や同意取得文言の例については、以下の資料をご確認ください。
EMV 3-Dセキュア導入ガイド(1.2版 2023/1/31公開)
p.28~p.34 「EMV 3-D セキュア導入加盟店における個人情報保護法への遵守に関する留意点」
システム対応例:p.26「(6) 個人情報の同意画面の作成内容について」