2018年、カード決済のセキュリティ規制強化!いまEC事業者が取るべき対策をベリトランスに聞いた
「顧客のクレジットカード情報を適切に管理しなくてはいけない」「クレジットカードの不正使用対策に取り組まなくてはならない」——。割賦販売法の改正により、クレジットカード決済を利用するEC事業者にセキュリティ対策が義務付けられる。ECサイトでの支払い方法として6割以上の割合を占めるカード取引の大転換に、EC事業者はどう対応するべきか。
ECサイトから実店舗、コールセンターまで、さまざまなチャネルに対応した決済ソリューションを提供するベリトランスの担当者に、いまEC事業者が行うべき対策を聞いた。
「カード情報の適切な管理」と「カードの不正利用の防止」が必須に
2018年、EC・通販・実店舗やカード会社、決済代行会社等、クレジットカード決済に関わるすべての事業者に対して大幅に規制が強化される。海外に比してカードセキュリティ対策で後れを取っていた国内でカード情報の漏えいや不正利用が急増していることを受け、政府が割賦販売法(以下:割販法)を改正し、カード情報の取り扱い管理や不正利用防止をクレジットカード加盟店の義務として厳格化したためだ。
割販法が掲げる「カード情報の適切な管理」と「カードの不正利用の防止」の具体的な対策内容とは、どのようなものか。その内容は、経済産業省と日本クレジット協会が中心となって立ち上げた「クレジット取引セキュリティ対策協議会」がまとめた「クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画(以下:実行計画)」に明記されている。
「『実行計画』では、EC事業者は2018年3月末までに、①カード情報の漏えい対策、②ECサイトにおける不正使用対策を実行しなくてはなりません。『実行計画』は改正割販法に沿って策定されており、行政も認めている業界ルール。対応を怠った場合、2018年5~6月と想定されている改正割販法の施行後、場合によってはカード加盟店契約を解除される可能性もあるのです。」(経営管理部・矢野正教マネージャー)
■『実行計画』における「カード情報の漏えい対策」とは?
「実行計画」に記載された「カード情報の漏えい対策」の具体策は次の2通り。
1つめは、カード情報をPCやサーバ等、自社で保有する機器・ネットワークにおいて「保存」「処理」「通過」させず「カード情報の非保持化」を実現すること。消費者がECサイトでカード決済を行う場合、決済代行会社などの決済画面に一旦遷移する方法(リンク式)と、カード情報をトークン化(不可逆の暗号化)し、カード情報自体がサーバー内を通過しないようにする方法(トークン式)の2種が認められている。
2つめの方法は、国際的なセキュリティ認証基準である「PCI-DSS」に準拠すること。「PCI-DSS」は、国際クレジットカードブランド5社(American Express、Discover、JCB、MasterCard、VISA)が設立した団体による認証制度。審査機関による訪問審査を行うほか、四半期ごとにシステムのセキュリティーホールをチェックするなど、厳格なセキュリティ基準を満たすことで取得できる。
EC事業者は今後、半年以内に2つの対策のうち、どちらかを実施しなくてはならない。ただ、矢野氏によると、実際には「カード情報の非保持化」を採用するECサイトが大半を占める見通しだという。
「『PCI-DSS』の準拠は、訪問審査のほか、自社でチェックを行う自己問診もあるのですが、いずれにせよ多くの手間と多額の費用がかかるため、EC事業者個社での実施は難しいと考えられます。現実的な対応策として、カード情報の非保持化を実現する仕組みを導入するケースが大半でしょう」
■「カードの不正使用対策」とは?
次に「カードの不正使用対策」とはどのような取り組みが必要なのか。
クレジットカードのオーソリゼーション(有効性確認)に加え、次の4つの対策を組み合わせて導入することが推奨されている。
① 本人認証(3Dセキュア)の実施
消費者がクレジットカード決済を行う際、予めカード発行会社に登録したパスワードを入力して本人確認を行う。
② セキュリティーコードの入力
クレジットカードの裏面に印字された3~4桁の数字を入力し、カードが本物であることを確認する。
③ 属性・行動分析によるリスク判定
過去の取引情報等に基づいたリスク評価によって不正取引を判定する。
決済代行会社やベンダーが提供する不正検知サービスを導入することも有効。
④ 配送先情報の確認
過去の不正注文の配送先住所などをデータベース化し、不正が疑われる場合には出荷を止める。
不正使用対策の実施基準はセキュリティ協議会で継続して議論が進められているものの、既に実行計画において不正利用リスクが高いとされている「チケット」「家電」「デジタルコンテンツ・オンラインゲーム」「電子マネー」を取り扱う事業者や既に不正使用が発生している事業者では、4つの対策のうちいくつかの実施が必須になると想定されている。
義務を守らないEC事業者はカード加盟店契約の解除もありうる
EC事業者が、改正割販法に定められた義務を果たさなかったとしても、罰金などの直接的な罰則はない。それでもEC事業者は義務を果たす必要がある。その理由を、矢野氏はこう説明する。
「改正割販法では、アクワイアラーや決済代行会社(PSP)などのカード加盟店契約企業を登録制としました。PSPについては任意の登録ですが、登録したこれらの企業はカード加盟店に対して、情報漏えい対策や不正使用対策に取り組むよう指導し管理する義務も負っています。そのため、カード加盟店が必要な対策を行わず、アクワイアラーやPSPの指導にも従わない場合、契約を解除される恐れもあります。」
また、改正割販法の円滑施行を目的に、経産省が公開したカード加盟店契約に関するガイドラインでは、加盟店が義務を履行しない場合の契約解除や、カードの不正使用が発生した場合の調査費用の請求、売上金の支払い拒否・返還請求がモデル条項として提示されており、本ガイドラインをベースに、アクワイアラーやPSPが契約改定を行うことも想定される。
つまり、カードセキュリティ対策を実施しないEC事業者は、最悪の場合はクレジットカード決済を利用できなくなる可能性があるということだ。
ECの主要な決済方法であるカード決済が使えなくなれば、売上が激減しEC運営にダメージを負う。そして、今後EC事業者がカードセキュリティ対策を実施していく中、自社が対応しないことで消費者の信用を失いかねないことも考えなければいけない。
こうした観点からも、「カード情報の漏えい対策」と「不正使用対策」は、カード決済を導入しているすべてのEC事業者で取り組む必要があるのだ。
「VeriTrans4G」なら、負荷をかけずに実行計画の完全対応が可能
「カード情報の漏えい対策」「不正使用対策」をEC事業者が独自に行う場合、多くの手間と多額の投資が発生する。そのため、中小ネットショップは、これらの対策に準拠した決済プラットフォームを利用するのが現実的な選択肢になる。
こうした課題を解決するツールとして、ベリトランスが提供する総合決済ソリューション「VeriTrans4G(ベリトランス・フォージー)」がEC業界で注目を集めている。
「VeriTrans4G」はECや実店舗、コールセンターなど、さまざまなチャネル・利用シーンで活用可能な決済ソリューション。クレジットカード、コンビニ決済、銀行決済、キャリア決済などはもちろんのこと、Apple Payなど多彩な決済手段に対応している。
一番の特長は「VeriTrans4G」の導入のみで「カード情報の非保持化」と「不正使用対策」の双方に完全対応できることだ。
■セキュアなだけでなく、ユーザビリティにも配慮
「VeriTrans4G」ではカード情報の非保持化ソリューションとして、カード情報を暗号化するトークン型の「MDKトークン」と、カード情報の入力時に別ページへと遷移するリンク型「POP(ポップ)」の2種類を提供している。
リンク型は自社サイトと別のドメイン、異なるデザインの決済画面に遷移するため、消費者の離脱を懸念しトークン型を採用するEC事業者も多い。しかし、「POP」の場合、カード情報の入力画面はECサイトのショッピングページ上にポップアップして表示される。自社サイトがグレー背景として表示されているので、ユーザーに安心感を与え、離脱(かご落ち)を防ぐことができる。
「ECサイトの画面遷移数が増えるほどコンバージョン率は低下すると言われていますので、そのリスクを減らすための仕組みを作りました。入力フォームのデザインは極力シンプルにして、ユーザーに違和感を与えないようにしています。もちろんMDKトークンもおすすめですが、リンク型もセキュリティ・ユーザビリティの両面から考慮し、事業者様が複数の選択肢より採用できるソリューションを提供したいからです。」(加盟店営業部・佐藤剛史部長)
■不正検知サービスも標準で提供。無料プランからのスタートでもOK
不正検知サービスとは、注文者のカード情報や、氏名・メールアドレス・配送先住所等の複数の情報をもとに不正注文を事前検知するサービス。
「VeriTrans4G」では、業界で初めて不正検知ソリューションを決済システムに標準実装した。そのためEC事業者は利用申込みをするだけで、決済情報が不正検知サービスに自動連携され、判定結果が決済処理結果と同時に通知されるため、手軽に導入できる。EC事業者の規模や商材などにあわせて、無料プランを始めとした3種類の不正検知サービスが利用可能だ。
(1)aegis
インドネシアにあるベリトランスのグループ会社が提供する「aegis」。個社ごとの独自ルール等のカスタマイズは難しいが、初期費用や月額費用が無料なため、不正検知の入門編として中小ネットショップも手軽に利用できる。
(2) CAFIS Brain
NTTデータが提供する「CAFIS Brain」は、ネットショップから大手航空会社、金融機関など幅広く利用されている。ベリトランスでは「VeriTrans4G」に、独自に商品ジャンルごとに不正検知アルゴリズムのテンプレートを作成し提供しているため、EC事業者は比較的短期間で精度の高い不正検知システムを導入することが可能。初期費用10万円、月額利用料は1万円以下という手頃な価格と、バランスの良い機能性が人気。
(2)ACI ReD SHIELD
世界的な不正検知ソリューション「ACI ReD SHIELD」は、複数の検知エンジンを利用した検知精度の高さに加え、企業ごとに不正検知ルールを作成するなどカスタマイズ性の高さとコンサルティングによるきめ細やかなチューニングが特徴。大量のトランザクション処理にも強く、大規模EC事業者に向いている。初期費用、月額費用は個別見積もり。
日本クレジット協会によると、2016年におけるクレジットカードの不正使用による被害額は前年比17.4%増の140億9000万円。こうした状況を鑑み、何らかの不正使用対策を講じるべきと佐藤氏は指摘する。
「不正注文の被害にあうネットショップは今や珍しくありません。自己防衛のために不正検知サービスを利用する企業は増えています。『VeriTrans4G』のaegisは無料で利用できますから、弊社のお客様には、まずは導入してみることを薦めています」
電話やFAX・はがきによる注文もEC同様の義務が発生
「カード情報の漏えい対策」は、電話やファックス・はがきなどを使った通販の注文(メールオーダー・テレフォンオーダー)にも適用される。
例えば、コールセンターで注文を受けた際、顧客のカード番号をオペレーターが聞き取り、PCで番号を入力した場合、実行計画ではPCも自社環境の端末とされるため、“カード情報が自社環境を通過している”と見なされる。
こうした問題の解決策として、ベリトランスは「IVR(音声自動応答)決済ソリューション」というサービスを5年前から提供している。顧客との電話中、カード決済を行う際は、オペレーターが通話をベリトランスのシステムに転送し、顧客には音声ガイダンスに従ってカード番号を顧客自身にプッシュダイアルで入力してもらう。この仕組みを使うことで、通販会社は顧客のカード番号が自社システムを通過することなくカード決済を利用できる。
また、「IVR決済ソリューション」以外にもメールオーダー・テレフォンオーダーに対応した複数の機能・サービスも提供を予定しているという。そのうちのひとつは、カード情報を入力するための専用端末の提供だ。端末は事業者の通信ネットワークとは別の独立したネットワークを利用しベリトランスのシステムと接続されるため、通販会社のオペレーターが顧客から聞き取ったカード情報を入力しても、通販会社の環境を通過したことにはならない。
ベリトランスには、ECのほか、メールオーダー・テレフォンオーダー加盟店、またECと実店舗双方を持つ事業者など、実行計画への対応を検討するさまざまな事業者からの問い合わせや相談が増加しているそうだ。
「弊社では、創業当初より「カード情報を加盟店が保持しない安全で安心な決済」の提供を推進し、さまざまな課題を持つ幅広い業種の事業者様のカードセキュリティ対応のサポートをしてきました。どんな対応をしたらいいのか悩んだら、まずは気軽にお問い合わせいただければと思います。」と佐藤氏は語った。