ついに義務化！業務運用やメール/電話受注の「カード情報非保持化」は「専用端末」と「業務受託のサービス」で解決

ソニーペイメントサービス株式会社　営業部門・加盟店営業部長　五石 信也氏

セキュリティホール化しつつある日本のクレジットカード取引の環境整備のため、2016年2月に「クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画」（以下、「実行計画」）が公表され、その後、各社の進捗状況や「改正割賦販売法」を踏まえ、2017年3月「実行計画2017」として、より具体的な内容へ改定された。
システムの「カード情報非保持化」対策を進める事業者の中でも、紙の申込書や電話受注、さらにはカード情報非保持化後のカード会社との顧客照会対応などの業務運用の相談が増えていると話すのは、ソニーペイメントサービス株式会社　営業部門・加盟店営業部長の五石 信也氏だ。
主にEC・非対面取引向けにクレジットカード決済をはじめとし、コンビニ払いなど幅広く決済手段を提供する企業として知られる同社は、今まで培ってきた一連の決済サポート業務やそのノウハウをソニーグループ外にも提供する動きを見せている。五石氏に実行計画2017の詳細とその対策について話を聞いた。

実行計画、改定のポイントと対策

実行計画2017では、EC事業者に求められるカード情報の非保持化について、「事業者で保有する機器・ネットワークにカード情報を『保存』『処理』『通過』させないこと」と定義した。これは具体的にはどのようなことを指すのか。

インターネット上だけでなく、メール、電話、FAXやはがきなどでもオーダーを受ける事業者では、ユーザーのカード情報を自社の機器に打ち込むという作業を行うことがある。

紙媒体のままカード情報を保存するだけであれば非保持とされるが、そのデータを自社の機器へ入力する場合は非保持とみなされず、カードブランドが定めるセキュリティ基準である「PCI DSS」の準拠が必要となる。

実行計画2016公表後に、メールや電話などの受注方法を採用している事業者よりカード情報取扱いの対応策について、多くの問合せが寄せられたという背景もあり、実行計画2017では課題や対応結果を反映させ、非保持化についてシステム面のみならず、業務運用面についても明確に定義された。

「PCI DSS準拠は、カード情報の取扱い形態や規模によって要件が異なりますが、相応の費用・時間を費やす必要があるため、多くの事業者様は『カード情報非保持化サービス』をご検討されます。マーケティング、業務運用においてもカード情報を保持しなくとも各種運用構築可能であり、また何よりカード情報の漏えいリスクを鑑みて保持は不要と判断されます」と、五石氏は言う。

４つの「カード情報非保持化」ソリューション

ソニーペイメントサービスが提供するメール/電話受注など業務運用面での「カード情報非保持化」対策は、4つあるという。

まずは、メールに掲載されているリンクよりエンドユーザーがカード情報を入力する「メールリンク決済」サービスだ。入力画面は同社が提供するため事業者側でのシステム構築が不要となり、エンドユーザーのメールアドレスさえ分かれば使用可能だ。都度決済だけではなく、定期購入時の初回カード情報登録にも適している。

つぎに、電話受注向けの「IVRサービス」だ。自動音声応答の電話口で、エンドユーザーがカード情報を入力し決済を完了させる。事業者では一切カード情報に触れることなく、また全体としてシステムでの構築が可能なサービスだ。

そして、メール/電話受注向けサービスとして、同社が提供するカード情報入力業務専用の端末(タブレット端末)を導入する方法がある。導入までの期間も短く、1台あたりの費用は回線費用含め月数千円ほどの費用である。複数の拠点で大量に即時リアルタイムでの処理が必要な事業者に適したサービスだ。

最後に、PCI DSSに準拠済みである同社による業務受託のサービスだ。クレジットカード情報の記載がある申込書について、書類の受領、不備確認からデータ入力およびデータ還元まで一貫して同社が業務代行してくれる。社内での情報漏えいが騒がれる昨今においては、カード情報に一切触れたくない事業者からの問合せが増えていると言う。

「もともと弊社では、大手企業様向けの決済代行サービスを提供してきました。お客様ごとに必要とされる決済システムもフローも異なるため、運用まで詳細にお伺いし、課題点についてひとつひとつ弊社ソリューションを提案し解決させていただく、またご用意していないものは作らせていただく、そのポリシーで対応してきました。現行フロー詳細を伺い、マニュアルや書式を共有していただくことで、オーダーメイドの業務代行サービスをご提供しています」そう語る五石氏からは、今まで積み上げてきた実績の自負がうかがえる。

「カード情報の非保持化」による業務上の課題

カード情報を非保持化することで、事業者はカード情報を一切持たない。では、カード会社からの問合せ対応など、事業者はカード情報を持たずして、どのように該当顧客の照会を行うのであろうか。

「カード情報を持たないことにより、事業者様は別の顧客特定番号等を使って業務を運用しなければいけません。今までカード情報で照合できていたものが、簡単にはできなくなります。この点において、カード会社との契約が弊社の包括契約であればすべての窓口が弊社となりますので問題ありません。一方、カード会社との直接契約であっても、業務受託サービスをご利用いただければ、カード会社と事業者様の間に弊社が入り、照会業務を行うことが可能です」

カード情報非保持化に対応した後でも、事業者がカード情報を取扱う業務は必ず発生する。同社を通すことで、作業効率を下げることなく今までよりもセキュアな環境で業務運用ができるようだ。

PCI DSSに準拠した事業者であっても、同社の業務受託のサービスを利用することで社内からカード情報を一掃させ、情報管理コストを大幅に削減させたという例もあるという。

自社判断による対策漏れが散見される

「カード情報非保持化の対応方法は、事業者様によって全く異なります。自社発行の提携カードの場合はどのように対応するべきか、他社サービスとの同時申込み時にカード情報を共有したいが非保持化している場合はどうしたらよいか、何百万とあるカード情報をどのように預けるのか、様々なお悩みのご相談に乗らせていただきました。そこで弊社では、今までの経験に基づいたWBS(作業分解構成図)を使用し、カード情報非保持化に向けてのタスク詳細を可視化することで、大企業様からスタートアップ企業様まで規模や環境に関わらず、確実かつスムーズにご対応させていただくことが可能です」

なんと同社では、100社以上の事業者に対し複数回の訪問を実施し、実行計画対応・非保持化の重要性の説明ならびに、事業者様側の対応に伴う目に見えない課題点はないか、直接ヒアリングしたという。その中で、自社で実行計画対応は完了したと思っていても、思わぬところで保持していたという先も散見されたようだ。

「カード情報が外部に漏れ、第三者によって悪用されるというケースは増加傾向にあります。また、そうしたケースのきっかけをつくってしまった事業者様は、ユーザーからの信頼を大きく失います。実際の被害者は事業者様であるにもかかわらず、情報漏えいは事業者様が悪者になってしまいます。そのようなことがないように、弊社は以前よりセキュリティに対してかなり力を入れてきました。情報漏えいといっても、カード情報を含む、含まないで大きく変わるため、不安やお困りごとがあれば何でもご相談ください」

改正割賦販売法で求められるセキュリティ対策の義務化は、2018年6月開始（2018年6月1日、改正割賦販売法が施行）を予定している。対策の遅れている事業者は、今すぐにでも対応を進めるべきだと五石氏は強調した。
「実行計画2017で求められるカード情報非保持化のリミットは2018年3月末です。義務化してからの対策では、完全に取り残される可能性があります」

カード情報の取扱いは、同社のような長年専門で事業を行って来た信頼のおける決済代行会社に相談するということが、最大のセキュリティ対策だろう。