“リンクタイプ” で簡単・短期間に「カード情報の非保持化」(第3回)

齊藤 元彦

【経済産業省が発表したEC事業者が2018/3までにするべきこと -第3回-】

①「カード情報の非保持化」対策は、 “トークン決済” か “リンクタイプ”

② “リンクタイプ” はECサイト開設にスピードと手軽さを重視する事業者向け

③ “リンクタイプ” とは、購入者の『カード情報入力』が、最初から決済代行事業者等のサーバー上で行われるカード決済システム
----------------------------------------------

◆本コラムについて◆
2016年2月、経済産業省より、EC事業者は2018年3月までに、「カード情報の非保持化」もしくは「PCI DSS準拠」の対応をしなければいけないという指針が出ました。
このコラムでは、その内容や対策方法についてお話していきます。
ECサイト・通販を運営している事業者の皆さまは、対応が必要かもしれませんので、是非ご一読いただければと思います。

【第1回】クレジットカードのセキュリティ対策は2018年3月までに!
https://www.ecnomikata.com/column/10973/

【第2回】“トークン決済” なら、ECサイトそのままで「カード情報の非保持化」
https://www.ecnomikata.com/column/11417/

“リンクタイプ” は、ECサイト開設にスピードと手軽さを重視する事業者向け

今回のテーマは “リンクタイプ” です。
これは、前回ご説明した “トークン決済” と同じく、「カード情報の非保持化」となるカード決済システムです。

“リンクタイプ” の説明の前に、簡単に「カード情報の非保持化」について、おさらいしましょう。
--------------------------------------------
●経済産業省が、EC事業者は2018年3月までに、「カード情報の非保持化」または「PCI DSS準拠」をするよう「実行計画」(*1)を発表した。

●「カード情報の非保持化」とは、カード情報がECサイトのサーバー上を「保存」「処理」「通過」をしない状態のこと。

●決済代行事業者を利用していない
 →「カード情報の非保持化」対策が必要。
 決済代行事業者を利用しているが、カード情報を決済代行事業者に預けていない
 →「カード情報の非保持化」対応が必要。

●「カード情報の非保持化」対策は、 “トークン決済” か “リンクタイプ” のカード決済システムを使うこと。
--------------------------------------------

「カード情報の非保持化」となる “トークン決済” とは、私たちGMOペイメントゲートウェイのサービス名称で、「実行計画」では、「JavaScriptを使用した非通過型」と言われています。
カード情報をトークン(意味のない乱英数字)に置き換えて決済処理をすることで、カード情報がECサイトのサーバー上を「保存」「処理」「通過」することを防ぎ、「カード情報の非保持化」を実現しています。

「カード情報の非保持化」対策が必要なECサイトは、「モジュール/プロトコル型」といわれるカード決済システムをご利用している場合が多いと思いますが、 “トークン決済” は「モジュール/プロトコル型」に追加できるので、一概には言えませんが、システム改修が抑えられます。
また、 “トークン決済” は購入者負担が少ないのも特徴です。

しかしながら、新しくECサイトを開設する場合やECサイトリニューアル時などに “トークン決済”を導入する場合、システム開発の時間やコストがかかってしまい、スタートアップや簡単にECを始めたい事業者の皆さまには負担になることもあります。

そこで今回は、このようなEC事業者の皆さまが、簡単に短期間で「カード情報の非保持化」を実現できる “リンクタイプ” という対策方法をご説明したいと思います。

“リンクタイプ” とは、購入者の『カード情報入力』が、最初から決済代行事業者等のサーバーで行われるカード決済システム


“リンクタイプ” と私たちが呼んでいる決済システムは、「実行計画」では「リダイレクト(リンク)型」と言われています。

購入者が次のようにECサイトで商品を買う場合、
--------------------------------------------
1. ECサイト上で商品を選択
2. 氏名・配送情報を入力
3. カード情報入力
 →カード決済処理
--------------------------------------------
『3.カード情報入力』を最初から、ECサイトのサーバー上ではなく、私たちのような決済代行事業者のサーバー上で行う決済システムのことです。

“トークン決済” は、カード情報をトークン(意味のない乱英数字)に置き換えることで、クレジットカード情報が、ECサイトのサーバー上を「保存」「処理」「通過」することを防いでいますが、“リンクタイプ” では、『3.カード情報入力』そのものを決済代行事業者等のサーバーで行うことで防いでいます。

“リンクタイプ” のメリット・デメリット

“リンクタイプ” のメリットは、なんと言っても「簡単に短期間で導入できること」です。

決済代行事業者で『決済画面』をテンプレートとして用意しているので、EC事業者のみなさまは、簡単に短期間でECサイトを開設することができます。

しかしながら、『決済画面』があらかじめ用意されているので、『3.カード情報入力』以降のwebページは自由にカスタマイズできない側面があります。
また、購入者から見ると、『2.氏名・配送情報を入力』から『3.カード情報入力』へと進むときに、別テイストの画面や別ドメイン(*2)となるので、そのECサイトに不信感を持ち購入をやめる「かごおち」の可能性もあります。

これらは “リンクタイプ” のデメリットと言えますが、私たちGMOペイメントゲートウェイでは、“リンクタイプ” のデメリットをなるべく解決するべく、『決済画面』のカスタマイズ性の向上や、別ドメインにならない仕組みなどを開発しています。(2017年5月までに順次対応予定)


“リンクタイプ”がオススメのECサイト

“トークン決済” と “リンクタイプ” 、そしてPCI DSS準拠が、EC事業者の皆さまの選択肢となります。

今回の、“リンクタイプ”がオススメだと考えられるECサイトは、
----------------------------------------------
●簡単に短期間で新規開設・リニューアルしたいECサイト
----------------------------------------------
です。

“リンクタイプ” は、「簡単に短期間で導入できること」がウリですので、スタートアップや簡単にECを始めたいEC事業者の皆さまには最適です。

現在、ECサイトを運営している場合は、 “リンクタイプ” に変更するほうが “トークン決済” より費用負担が生じることが多いですが、新規開設やリニューアルなら、いずれにしても、“トークン決済” か “リンクタイプ” のどちらかのカード決済システムを導入しなければならないので、費用負担以外の機能やスピードなどの部分で選んでいただいくことができます。

なお、 “リンクタイプ” は『カード情報の入力』以降は、ECサイトのサーバー上では行われないので、ECサイトが攻撃を受けて、カード情報の漏えいが生じるリスクは限りなく少ないですが、URLを書き換えられて不正なサイトへ誘導されるリスクは残るので注意が必要です。

“リンクタイプ” と“トークン決済” それぞれに特徴がありますので、このコラムを参考にしながら、皆さまのECサイトに合う「カード情報の非保持化」の対策をしていただければと思います。



GMOペイメントゲートウェイでは、「カード情報の非保持化」の専属スタッフが、EC事業者の皆さまのご相談にのっておりますので、いつでもご連絡ください。
【お問合せフォーム】https://krs.bz/gmopg/m?f=504/?s=ecmikata161109


最後に、本日のまとめです。
----------------------------------------------
●「カード情報の非保持化」の対策方法は、 “トークン決済” に加え “リンクタイプ”がある。
●スピードと手軽さを求めるなら “リンクタイプ”
----------------------------------------------

ここ3回にわたって、ECサイトからクレジットカード情報が漏れることを防ぐこと=「カード情報の非保持化」のお話をさせていただきました。
次回は、少し派生して、ECサイトが不正使用の被害を受けてしまうことを防ぐお話をしたいと思います。


(*1)実行計画:経済産業省などからなる「クレジット取引セキュリティ対策協議会」より発表された、「クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画」を指す。このなかで、EC事業者は2018年3月までに、「カード情報の非保持化」もしくは「PCI DSS準拠」の対応をしなければいけないという指針が発表されている

(*2)ドメイン:インターネット上にあるコンピューターを特定するために使われる、一定のルールに従って作られた文字列


著者

齊藤 元彦 (Motohiko Saito)

通信系教育会社のシステム運用担当、情報セキュリティコンサルタントを経て、2010年GMOペイメントゲートウェイに入社。情報セキュリティ担当として、ISO27001・Pマーク・PCIDSSなどの取得・継続運用、社内セキュリティ体制の構築などを実施。情報セキュリティ業務に15年以上携わる経験を活かし、セキュリティセミナー講師なども行う。

・GMOペイメントゲートウェイ : https://www.gmo-pg.com/
・カード情報の漏えい対策について : https://www.gmo-pg.com/service/function/execution/