【まとめてみた】情報溢れる「クレカ情報非保持化・PCI DSS」。今からでも対応すべきその理由

利根川 舞

EC業界でも頻繁に耳にするようになった「クレジットカード情報の非保持化」「PCI DSS準拠」という言葉たち。
とはいえ、情報は溢れ、「結局どうすればいいのだろう?」と感じている人も少なくないだろう。
本記事ではECサイトとして対応すべきことや、知っておくべきことを簡単にまとめたので、参考にして欲しい。

クレジットカード情報にまつわる犯罪は増加

クレジットカード情報の流出やカードの偽造、それらを悪用した詐欺など、クレジットカードにまつわる犯罪行為は日々増加している。

カード情報の流出や悪用があった場合、社会的な信用や信頼に大きく関わることとなる。また、カード情報悪用による詐欺注文があった際、商品を送ってしまった場合にはその費用を店舗が負担しなければならないなど、多方面での対応が求められることになる。

そのような状況の中、オリンピックが開催される2020年に向けて現在進行しているのが、「国際水準のセキュリティ環境」の整備だ。

本記事では日本クレジット協会が策定した「クレジット取引セキュリティ対策協議会 実行計画(以下、「実行計画」)」における対策の3本柱「カード情報を盗らせない」「偽造カードを使わせない」「なりすましをさせない」のうち、「カード情報を盗らせない」についてフォーカスしてお伝えしていこう。

まずは、「実行計画」にまつわるスケジュールを見ていく。

*

2015年 3月 クレジット取引セキィリティ対策協議会設立
2016年 2月 「実行計画2016」策定
2016年 12月 「割賦販売法の一部を改正する法律(「改正割賦販売法」)」交付
2017年 3月 「実行計画2017」策定
2018年 3月 「実行計画2018」策定
2018年 3月末 EC事業者へ「カード情報の非保持化」または「PCI DSS準拠」が求められる
2018年 6月 「改正割賦販売法施行」
*

2018年3月までに「カード情報の非保持化」への移行、または「PCI DSS準拠」などのセキュリティ対策を求められてたが、今年6月の改正割販販売法により、セキュリティ対策が義務となる。

義務であるため罰則はないが、クレジットカード会社が行う、悪質加盟店の是正やカード情報の適切な管理を調査する、加盟店調査に基づいた処置に応じない場合は将来的にクレジットカード決済の取り扱いができなくなる可能性がある。

まだ対応していないのであれば、将来的な事業リスクをなくすためにも、すぐに対応するのが賢明だと言える。

カード情報セキュリティーの強化。何をすればいいの?

「カード情報の非保持化」への移行、または「PCI DSS準拠」のためには、次のような対応が必要になる。

■PCI DSS準拠
対象:自社でカード情報を保持したい企業
   例:カード会社、大手百貨店、スーパー、携帯電話会社、通信会社、新聞、石油業界など

PCI DSSはカード会員情報を安全に取り扱うことを目的に策定された、クレジットカード業界のセキュリティ規準だ。準拠するためには、訪問審査、サイトスキャン、自己審問、3つの方法(カードブランドにより、複数実施することもあり)によって認定を取得することができる。

準拠のためにはシステムの改修なども必要で、時間とコストがかかるため、クレジットカード情報を保存しておきたい大手の通販EC事業者以外は非保持化を選択するケースが多い。

■非保持化
対象:カード決済を導入していて、PCI DSSに準拠しない企業

「カード情報の非保持化」は自社で保有するネットワークにて「カード情報」を保存・処理・通過しないことを指す。ECサイトでのカード情報非保持化にも複数の手段がある。

・カード情報お預かりサービス
 購入者が登録した会員情報とカード情報を決済代行会社へ預け、保管・管理をしてもらう方法。会員情報とカード情報ともに保存されるため、2回目以降の購入はクイック決済が可能となる。

・リンク決済
カード情報入力時に決済代行会社の決済画面へ遷移し、決済する方法

・トークン決済
 購入者が入力したカード番号を別の文字列(トークン)に置き換えて決済を行う

・メールリンク
メールやショートメールなどに決済画面のURLを送付し、決済を行う

など

自社のECサイトは対応済み?

ECサイト構築するサービスによって、すでにPCI DSSへ準拠していたり、オプションサービスを提供していることもある。不安な場合は設定や営業担当者へ確認をしてみると良いだろう。

■ASPカート(一部の例)

・カラーミーショップ(GMOペポボ株式会社)
 カラーミーショップ側で対応済みのため、対応不要

・MakeShop(GMOメイクショップ株式会社)
 PCI DSSに準拠したトークン決済に対応済み、ただし、オプション契約の必要あり

・FutureShop2(フューチャーショップ)
 FutureShop2、決済オプション「F-REGI」のカード決済を利用しているECサイトはトークン決済に対応済み

■パッケージ(一部の例)
・ecbeing / mercart(株式会社ecbeing)
 PCI DSS準拠オプションサービスを提供

・HIT-MALL(アイテック阪急阪神株式会社)
 PCI DSSに準拠したサービスを提供

・SI Web Shopping(システムインテグレータ)
 PCI DSSに完全準拠したベリトランス社の「VeriTrans4G」に標準対応

・ebisumart(インターファクトリー)
 PCI DSS準拠オプションを提供

ECサイト以外の受注ではどのような対応が必要なのか

2018年に改訂された「実行計画」では、紙のレポートやクレジット取引に係る紙伝票、紙媒体をスキャンした画像データは非保持化とみなされるが、情報管理の手間を考えれば、対策を講じた方が良いだろう。

■電話・メール・FAXでの受注
・非保持の場合、要件を満たした決済専用端末やタブレット端末を利用した外回り方式の導入
・PCIP2E認定ソリューションの導入  など
※PCI P2PE…米国で採用されている基準

■実店舗の対面決済
・決済専用端末から直接外部の情報処理センター又はASP/クラウドセンター等に伝送される方式
・PCI P2PE認定ソリューションの導入又はクレジット取引セキュリティ協議会において取りまとめた技術要件に適合するセキュリティ基準 (11項目)を満たすこと  など

カード情報セキュリティ対策の詳細を知りたい!

クレジットカード会社や決済代行会社では、様々なところで啓蒙を進めている。上記にまとめた情報の詳細が知りたい場合は、下記の記事も参考にしてみてはいかがだろうか。

■ソニーペイメントサービス株式会社
2018年3月まで!カード情報非保持化の対応期限が迫る今、選ぶべきは『トークン決済』
ついに義務化!業務運用やメール/電話受注の「カード情報非保持化」は「専用端末」と「業務受託のサービス」で解決
クレジットカード情報保護の法令対策に 大きく遅れをとるEC業界 ソニーペイメントサービスが警鐘を鳴らす

■ベリトランス株式会社
カード決済の規制強化に対応する、IVR決済ソリューション
2018年、カード決済のセキュリティ規制強化!いまEC事業者が取るべき対策をベリトランスに聞いた
カード情報非保持化に対応すると現場の動きはどう変わるのか?MOTO事業者の“非保持化実現策”を公開。

■ソフトバンク・ペイメント・サービス株式会社
対応必須のクレジットカード情報非保持化を、負荷なく実現。『永久トークン非保持化サービス』の優位性とは。


記者プロフィール

利根川 舞

ECのミカタ 副編集長

ロックが好きで週末はライブハウスやフェス会場に出現します。
一番好きなバンドはACIDMAN、一番好きなフェスは京都大作戦。

ECを活用した地方創生に注目しています!
EC業界を発展させることをミッションに、様々な情報を発信していきます。

利根川 舞 の執筆記事