2018年までに必須！EC事業者のクレカセキュリティ対策

日本クレジット協会の「実行計画」ご存知ですか？

　現在、クレジットカードを利用してのショッピングは円滑な決済方法として、消費者の購入機会の拡大になくてはならない存在となっている。ECでの利用はもちろんのこと、リアル店舗での商品購入においても頻繁に利用されており、日本クレジット協会が発表したクレジットカードショッピング信用供与額は平成25年が417,915百万円、平成26年が462,663百万円、平成27年が498,341百万円と、年々増加しており、各年の月次で見た場合も、一進一退してはいるが、全体的に増加の傾向にある。そういった意味でも、クレジットカード取引の安全と安心の確保は重要な課題となっている。

　EC通販業界では、なりすましによる不正使用なども多発し、クレジットカードの保有者や取引関係者に被害をもたらしており、EC事業者の対応が求められているのだ。

　今年の2月には、「クレジット取引セキュリティ対策協議会」（事務局：一般社団法人日本クレジット協会（以下「日本クレジット協会」））において、国際水準のクレジットカード取引のセキュリティ環境を整備するため、2020年に向けた具体的な目標・各主体の役割等を取りまとめた「実行計画」が公表された。

この「実行計画」には3つの概要があるが、EC事業者に関わることとして、1つ目に、カード情報の適切な保護の観点から、2020年までに加盟店カード情報を非保持化する取組を進めるとともに、保持する事業者等にはPCI-DSS（データセキュリティの国際規格）への準拠が進められる。

2つ目に、ECにおけるなりすまし等の不正使用被害を最小化するため、2018年までに、EC加盟店において多面的・重層的な不正使用対策が導入される。

3つ目はリアル店舗での対応となるのだが、カード偽造防止対策として2020年までにクレジットカードおよび加盟店の決済端末の「IC対応化100％」となる。そのため、IC取引時のオペレーションルールの策定や、POSシステムにおけるIC対応の低コスト化などが進められる。

EC事業者に迫られる決断

カード決済システムの分類

　「実行計画」1つ目に関して解説すると、現在、ペイメント・サービス・プロバイダー（以下「PSP」）を利用するEC加盟店におけるカード決済システムにおいては、カード決済システムはカード情報が加盟店のサーバーを通過する「通過型」と、通過しない「非通過型」に大別される。

　「通過型」は、カード情報がEC加盟店のサーバーを通過して処理されるため、EC加盟店のシステムにカード情報が保存されることがある。そのため、不正アクセスなどにより、それらの情報が窃盗されやすい。

　その一方で、「非通過型」はカード情報がEC加盟店のサーバーではなくPSPのサーバーを通過して処理されるため、EC加盟店からカード情報が漏洩する可能性は低い。だからこそ、「非通過型」を導入することにより、カード情報を非保持化する取り組みが進められているのだ。

また、実務上の都合で非保持化が困難な場合は「PCI-DSS」への準拠が求められることになる。

　「PCI-DSS（Payment Card Industry Data Security Standards）」は加盟店やサービスプロバイダにおいて、クレジットカード会員データを安全に取り扱うことを目的として策定されたクレジット業界のセキュリティ規準だ。国際カードブランド5社(American Express、Discover、JCB、MasterCard、VISA)が共同で設立したグローバルフォーラム、PCI SSC(Payment Card Industry Security Standards Council)によって運用、管理されている。「PCI-DSS」を取得するためには、訪問審査、サイトスキャン、自己問診のいずれか、もしくは複数の方法がある。

　「実行計画」2つ目のECにおける、なりすましなどの不正使用被害を最小化するための取り組みとしては、具体的には本人認証の強化や過去の取引情報などに基づいたリスク評価を行い、取引が不正であるかどうかの判定をする、また配送先情報の蓄積などが挙げられている。

2018年まで2年を切った今が動く時

　株式会社ジャストシステムが行った調査において、ECサイトで最も利用されている決済方法は他の決済方法を大きく抑え7割がクレジットカードであるという結果が出ている。決済方法は多々あれども、後日の引き落とされるため購入の瞬間に現金を持っていなくても済むし、わざわざ振り込みに行かなくとも済むというのは、クレジットカードの大きな魅力といえる。

　しかし、”信用”から成り立っているからこそ、その信用につけこんで、なりすましや偽造などの不正が起きてしまうのである。国内での犯罪はもちろんの事、2020年のオリンピックをピークとして、今後も国外からの旅行者が増加することが予想される。そして、その旅行者が帰国後に越境ECで商品を購入するかもしれないことを考えると、やはり早めに不安を取り除く必要があるだろう。

　日本クレジット協会の「実行計画」では、2020年より前の2018年3月末までに原則として非保持化もしくは「PCI-DSS」への準拠が必要となる。すでに2年を切っている今、直前に慌てて対応するのではなく、着々と段取りを踏んで準備を進める必要があるだろう。