“リンクタイプ”で「カード情報の非保持化」を行う場合のモデルケース【第7回】
【経済産業省が発表したEC事業者が2018/3までにするべきこと -第7回-】
----------------------------------------------
◆本コラムについて◆
2016年2月、経済産業省より、EC事業者は2018年3月までに、「カード情報の非保持化」もしくは「PCI DSS準拠」の対応をしなければいけないという指針が公表されました。
このコラムでは、その内容や対策方法についてお話していきます。
ECサイト・通販を運営している事業者の皆さまは、対応が必要かもしれませんので、是非ご一読いただければと思います。
【第1回】クレジットカードのセキュリティ対策は2018年3月までに!
https://www.ecnomikata.com/column/10973/
【第2回】“トークン決済” なら、ECサイトそのままで「カード情報の非保持化」
https://www.ecnomikata.com/column/11417/
【第3回】“リンクタイプ” で簡単・短期間に「カード情報の非保持化」
https://www.ecnomikata.com/column/11888/
【第4回】「カード情報の非保持化」と一緒にやっておきたい「不正使用対策」
https://www.ecnomikata.com/column/12470/
【第5回】カード情報漏えいは「トークン決済」「リンクタイプ」で未然に防ぐ
https://www.ecnomikata.com/column/13076/
【第6回】 “トークン決済”で「カード情報の非保持化」を行う場合のモデルケース
https://www.ecnomikata.com/column/13475/
ついに、「カード情報の非保持化」もしくは「PCI DSS準拠」の対応をしなければいけない2018年3月まで、残り1年となりました。
EC事業者の皆さま、ご対応の状況はいかがでしょうか?
本コラムでは、前回より2回にわたり、EC事業者の皆さまがどのような背景で「カード情報の非保持化」に対応されたかを、モデルケースでご紹介しています。
「実行計画」(*)で「カード情報の非保持化」として推奨されている決済システムは非通過型の2つの方法があり、前回はそのうちの1つ “トークン決済” のモデルケースをご紹介しました。
今回は、もう一つの推奨される決済システム ”リンクタイプ” のモデルケースを見てみたいと思います。
“リンクタイプ”とは、購入者の『カード情報入力』が、最初から決済代行事業者等のサーバー上で行われるカード決済システムのことです。
詳しくは、本コラムの第3回(URL:https://www.ecnomikata.com/column/11888/)をご参照ください。
“リンクタイプ”は、決済代行事業者で『決済画面』をテンプレートとして用意しているので、ゼロからECサイトを作るときは、短時間で簡単に導入できるという特徴があります。
一方、既にECサイトを運営しており、決済システムでモジュール/プロトコルタイプを利用しているECサイトにとっては、
・"トークン決済"のほうが"リンクタイプ"より、大規模な改修が不要なことが多い
・"トークン決済"のほうが"リンクタイプ"より、カスタマイズ性が高い
場合が多く、"リンクタイプ"を選ばないことが多いです。
もちろん、ご利用されているECパッケージの決済システム接続状況や、各EC事業者の皆さまのセキュリティに対する考え方などにより一概には言えないのですが、今回は新規でECサイトを開設する際に"リンクタイプ"を選んだケースを中心に見ていきたいと思います。
ECサイト開設まで時間がなく、”リンクタイプ”を選ぶケース
最初のモデルケースは、教育塾を展開しているA社が、急遽eラーニングサービスをスタートした例です。
A社は関東地方を中心に展開する、小・中学生向けの教育塾です。
受験シーズンが終わりかける2月頃、受験生や受験生の親から「休んだ日の授業を家で見たい」「スマートフォンで小テストやドリルを行いたい」といった意見があり、A社の先生や経営者は、意見を取り入れるべくeラーニングの検討を始めました。
復習ができる教材は多くの生徒に役立つだろうし、また、小・中学生にも広くスマートフォンやタブレットは普及しており、ゲームをするついでに勉強をするなどの効果もあるだろうと考え、eラーニングの導入を決めました。
そして、学年が切り替わる4月からeラーニングを開始することにしました。
ここで困ったのが、A社のシステム全般をあずかる担当者です。
生徒の会員管理やWEBサイト運営などは行っていますが、eラーニングのノウハウはなく、新たなシステムを構築するには人手も足りません。
そのため、自社でeラーニングシステムを作るのではなく、システム開発会社に開発を依頼することにしました。
システム開発会社に相談して次のことがわかりました。
----------------------------------------------
●EC事業者とは物を販売するネットショップだけを指すのでなく、eラーニングのようにホームページなどのWEBサイト上でサービスを販売する事業者も、EC事業者となる
●EC事業者は2018年3月までに「カード情報の非保持化」か「PCI DSS準拠」が求められており、今からECを始めるなら、いずれかに対応する必要がある
●新たにECを始める場合は、"リンクタイプ"の導入が早くて簡単
----------------------------------------------
幸い、A社は生徒の復習用や資料のために授業風景の録画をしており、またCD-ROMでドリルの販売もしているためeラーニング用の素材はあります。
また、導入したい決済手段はクレジットカード決済のみであり、相談したシステム開発会社は、"リンクタイプ"のクレジットカード決済システムの開発経験があったので、"リンクタイプ"の利用が可能です。
A社はeラーニングの優先事項を決めました。
----------------------------------------------
①4月にeラーニングサービスをスタートすることが最優先
②eラーニングサービスはA社の生徒が見るものなので、ネットショップやオンラインコンテンツのように集客や離脱を防ぐためのUIのカスタマイズは、スタート時では優先度を落とす
----------------------------------------------
A社は"リンクタイプ"を選び、急ピッチでeラーニングサービスの開発を進め、4月にスタートを切ることができました。
「スマートフォンの最適化」という商材の課題を”リンクタイプ”で対応するケース
次は、電子書籍サービスを開始したB社のケースです。
電子書籍はスマートフォンで見る場合も多く、「本を探す」「購入する」「読書をする」をスマートフォンでストレスなくできる必要がありました。
B社は、古くから書籍や雑誌を発行する出版社です。
昨今の電子書籍の高まりを受け、ある一雑誌をWEB上で、電子書籍化することとしました。
部内に電子書籍のチームを立ち上げたものの、ECサイトやコンテンツなどのシステム開発に詳しい人がおらず、システム開発会社に電子書籍の立上げや運営を依頼することにしました。
相談して次のことがわかりました。
----------------------------------------------
●スマートフォンで電子書籍を購入・読書する消費者はPCより多くなっており、スマートフォン対応は必須
●近年ECでは不正利用が増加しており、セキュリティ面をしっかり強化すべきである
●セキュリティ対策の一つとして、「実行計画」ではEC事業者に対して、「カード情報の非保持化」か「PCI DSS準拠」の対応を求めている
----------------------------------------------
B社の電子書籍チームでも、スマートフォンで読める形にすべきだと思っていたので、スマートフォン対応をメインに進めることにしました。
また、B社の既存事業では、クレジットカード情報の保持を自社ではしておらず、新たな電子書籍サービスでも保持しないため、「PCI DSS準拠」ではなく「カード情報の非保持化」によるセキュリティ対策をとることとしました。
あとは、「カード情報の非保持化」対応として"トークン決済"と"リンクタイプ"のどちらを選ぶかです。
依頼したシステム開発会社は、"トークン決済"も"リンクタイプ"も既に開発実績があり、どちらを選ぶこともできます。
次の2点を決め手として、B社は"リンクタイプ"を選びました。
----------------------------------------------
①システム開発会社が接続したことのある"リンクタイプ"は、スマートフォン最適化ができるものであった
②"リンクタイプ"は、『カード情報の入力』から決済代行事業者のサーバーで決済が行われるので、より安全性が高いと言われている
----------------------------------------------
ショッピングカートで構築したECサイトで、クレジットカード決済を利用しているケース
最後のC社は、ショッピングカートでECサイトを作り運営している事例です。
C社は関東以外の地域で、地域の食材を使った飲食店を営んでいました。
旅行者からの要望も高く、またメディアに取り上げられることも増えたため、ECサイトで食品のお取り寄せを始めることにしました。
何をどうしたらよいのかわからなかったため、ネットで調べながら、ショッピングカートを利用してECサイトを作りました。
決済システムについては、ショッピングカートに実装されていた決済代行事業者が提供する決済システムを選びました。
その後、ECサイトの売り上げが伸びてきたので、EC担当者を置き、ECサイトの運営に本腰を入れはじめました。
そんなある日、届いた決済代行事業者からのメールマガジンが、「実行計画」を知るきっかけでした。
「経済産業省」「2018年3月まで」「カード情報の非保持化」・・・
これは自分たちも関係することなのか?
何か対応をしなければならないのか?
自社のECサイトはクレジットカード決済導入しているので関係ありそうです。
期限もあるので、とても気になります。
そこで、利用している決済代行事業者に確認をとりました。
その結果、次のことがわかりました。
----------------------------------------------
●「実行計画」は、規模の大小やECサイト構築方法に関わらず、すべてのEC事業者に関係することである。ショッピングカートを利用していても対応が必要となる可能性がある。
●C社が利用している決済システムは"リンクタイプ"である
●"リンクタイプ"であれば「カード情報の非保持化」ができているので、特段対応の必要はない
----------------------------------------------
C社は非通過型である"リンクタイプ"の決済システムを利用していたため、「カード情報の非保持化」対応はできていました。
ショッピングカートを利用しているからといって、C社のように"リンクタイプ"で「カード情報の非保持化」に対応しているわけではありません。
ショッピングカートに実装されている決済システムが、モジュール/プロトコルタイプの場合もあり、この場合は、「カード情報の非保持化」の対応が必要となります。
ショッピングカートを利用しているEC事業者の皆さまも、「実行計画」は自社に関係することと認識し、決済システムが不明な場合は、決済代行事業者やご利用のショッピングカートにご確認いただければと思います。
自分の利用している決済システムが「カード情報の非保持化」に対応しているのか、もしくは未対応で今から対応が必要となるのかを早急に確認し、クレジットカード情報の取扱い状況に応じた適切な対応をしていきましょう。
2回にわたってモデルケースをご紹介しました。
EC事業者の皆さまのご参考に少しでもなれば幸いです。
「実行計画」で決められた期限まであと1年です。
2016年12月に割賦販売法が改正し、クレジットカード加盟店に対し、クレジットカード情報の適切な取扱いが義務化されました。
これにより、実務指針である「実行計画」への対応を完了していない場合、クレジットカード決済を利用することができなくなる可能性があります。
現在のECサイトの運営状況や、「カード情報の非保持化」への切り替えに対する要望によっては、時間が足らず、希望どおりの「カード情報の非保持化」の対応ができない場合もあるため、是非とも早目のアクションを!
まずは、現在ECサイトを運営している事業者さまは、自社の決済システムで「カード情報の非保持化」ができているかどうかをご確認ください。
GMOペイメントゲートウェイでは、”リンクタイプ” をはじめ、各ECサイトに適切な「カード情報の非保持化」のご相談にのっておりますので、ぜひお気軽にお問い合わせください。
【お問合せフォーム】 https://krs.bz/gmopg/m?f=504/?s=ecmikata170308
(*)実行計画:経済産業省などからなる「クレジット取引セキュリティ対策協議会」より発表された、「クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画」を指す。このなかで、EC事業者は2018年3月までに、「カード情報の非保持化」もしくは「PCI DSS準拠」の対応をしなければいけないという指針が発表されている