EMV 3-Dセキュア導入加盟店における
個人情報保護法の遵守に関する留意点について

割賦販売法において、クレジッドカード加盟店には、不正利用を防止するためのセキュリティ対策が求められています。割賦販売法で求められるセキュリティ対策の実務上の指針である「クレジットカード・セキュリティガイドライン」では、EC加盟店における不正利用防止のための本人認証の具体的手法として、「EMV 3-Dセキュア」の導入を挙げています。

「EMV 3-Dセキュア」導入加盟店におかれましては、「EMV 3-Dセキュア」利用にあたり、以下のとおり個人情報保護法を遵守するために必要な対応がありますので、ご確認および法令の遵守をお願いします。

【個人情報保護法に基づく個人データの第三者提供の同意取得が必要です】

「EMV 3-Dセキュア」導入加盟店は、「EMV 3-Dセキュア」を利用することにより、クレジットカード利用者がクレジットカードを利用する際に、その利用者の個人データ〈※〉をクレジットカード発行者（イシュアー）に対して提供することになります。この場合、加盟店は、その利用者から個人データの第三者（イシュアー）提供についてあらかじめ同意を受けることが個人情報保護法により義務付けられています。

〈※〉「EMV 3-Dセキュア」で利用される個人データ項目例
「会員氏名」、「emailアドレス」、「会員電話番号（自宅・携帯・勤務先）」、「配送先住所」、「カードの請求書送付先住所」、「IPアドレス」、「デバイス情報」、「加盟店が保有している会員に関する情報」等

【個人データの第三者提供の同意取得の対応例】

「クレジットカード・セキュリティガイドライン」を制定している「クレジット取引セキュリティ対策協議会」は、「EMV 3-Dセキュア」導入加盟店が「EMV 3-Dセキュア」利用による個人データの第三者（イシュアー）提供に関して同意を取得するための対応例（同意取得の時期、方法、文言例）を示していますので、以下に抜粋、転載します。参考としてください。

参考： 令和4年12月27日 クレジット取引セキュリティ対策協議会
「EMV 3-Dセキュア導入加盟店における個人情報保護法の遵守に関する留意点」

■ 個人情報保護法上の義務（概要）

ⅰ） 「個人データを第三者に提供する」といったあらかじめの本人の同意取得（第27条第1項）

ⅱ） 外国にある第三者（海外イシュアー）に個人データを提供する際の同意取得と情報提供（第28条）

■ 対応例（以下に提示する方法は例であり、各事業者にて法令の趣旨に則りご対応ください）

同意取得方法例と同意文言例 【義務ⅰ，ⅱ】

＜同意取得方法例＞※いずれか一つの方法にて同意取得

＜同意取得文言例＞

当社がお客様から収集した以下の個人情報等は、カード発行会社が行う不正利用検知・防止のために、お客様が利用されているカード発行会社へ提供させていただきます。
氏名、電話番号、emailアドレス、インターネット利用環境に関する情報等
（加盟店の態様に応じて提供する個人情報を特定し記載ください）
お客様が利用されているカード発行会社が外国にある場合、これらの情報は当該発行会社が所属する国に移転される場合があります。当社では、お客様から収集した情報からは、ご利用のカード発行会社及び当該会社が所在する国を特定することができないため、以下の個人情報保護措置に関する情報を把握して、ご提供することはできません。
・提供先が所在する外国の名称
・当該国の個人情報保護に関する情報
・発行会社の個人情報保護の措置
なお、個人情報保護委員会のホームページ（https://www.ppc.go.jp/)では、各国における個人情報
保護制度に関する情報について掲載されています。
お客様が未成年の場合、親権者または後見人の承諾を得た上で、本サービスを利用するものとします。

※本「同意取得文言例」はあくまで「例」であり、最終的には個人情報取扱事業者が個人情報保護法などの関連する法令等を遵守することが求められる。