2018年3月末「カード情報の非保持化」対応期限迫る!EC事業者がとるべき対策ポイントはこれだ!

ECのミカタ編集部 [PR]

株式会社ゼウス
左:営業統括本部 営業本部 プロジェクト推進部 部長 清田 泰利 氏
右:営業統括本部 加盟店営業本部 本部長 小笠原 公一 氏

ECサイトへの不正アクセスと、顧客のクレジットカード情報などの漏えい事故や不正使用被害が相次いでいる。こうした現状を背景に、政府は割賦販売法の一部を改正し、クレジットカードを取り扱うすべての事業者に対してクレジットカード情報の適切な管理や不正使用対策を講じることを義務付けた。とりわけ、EC・通販事業者に義務付けられるセキュリティ対策の対応期限は2018年3月末に迫っており、その対応を怠ったEC・通販事業者は今後、クレジットカード決済を利用できなくなる可能性がある。

EC・通販事業者に求められるセキュリティ対策とはどのようなものか。国内決済代行会社のパイオニアとして、インターネット黎明期より20年以上にわたり決済サービス事業を手掛ける株式会社ゼウス(以下、ゼウス)の 小笠原公一氏と清田泰利氏に話を聞いた。

カード情報の適切な管理は法律で定められた義務

クレジットカードを取り扱うEC・通販事業者は、2018年3月末までに、クレジットカード情報を適切に管理できる決済システムへ移行する必要がある。

これは今年6月に施行される「割賦販売法の一部を改正する法律(改正割賦販売法)」にもとづくもの。具体的な運用指針は、クレジットカード業界や経済産業省などが2017年3月にまとめた「クレジットカード取引における セキュリティ対策の強化に向けた実行計画2017(以下、実行計画2017)」に記載されている。

「クレジットカード情報を適切に管理する義務は、法律で定められたものであり、『知らなかった』『まだやらなくて良いと思っていた』では済まされないのです」(小笠原氏)

クレジットカード情報を適切に管理するには、どのような方法があるのだろうか。現時点では次の2通りがある。

(1) 自社で保有する機器・ネットワークにおいてクレジットカード情報を保存・処理・通過しない決済システムを導入する
(2)「PCI DSS」と呼ばれるクレジットカード決済のセキュリティに関する国際認証基準に準拠する

それぞれの具体的な内容について、ゼウスが提供する決済サービスを例に挙げて説明しよう。

(1)自社で保有する機器・ネットワークにおいてクレジットカード情報を保存・処理・通過しない決済システムとは?

これには「リンク(画面遷移)型」と「トークン(JavaScript)型」の2種類がある。

「リンク(画面遷移)型」の仕組み

ゼウスの「リンク(画面遷移)型」決済のイメージ


「リンク(画面遷移)型」とは、消費者がECサイト上でクレジットカード決済を行う際に、決済代行会社であるゼウスの決済画面(別のURL)に一旦遷移する方法。
ゼウスの決済サービスでは、ECサイトにHTMLのリンクボタンを設置するだけで導入が完了する。「リンク(画面遷移)型は、システム投資と作業負荷が少ないため、比較的安価にクレジットカード決済機能を導入したいEC事業者様からも引き合いが多い」(清田氏)と言う。


「トークン(JavaScript)型」の仕組み

ゼウスの「トークン(JavaScript)型」決済のイメージ

「トークン(JavaScript)型」とは、クレジットカード情報を不可逆の暗号(トークン)に変換し、クレジットカード情報自体がサーバ内を通過しないようにする方法。

ゼウスの決済サービスでこの仕組みを構築する場合、ECサイトのクレジットカード情報入力画面にゼウスが提供するJavaScriptプログラムを組み込むことで実現する。

「トークン(JavaScript)型」であれば、決済画面から遷移することなく決済が完了する。システム内部ではゼウスの決済システム(サーバ)に一旦遷移しているが、消費者はそのことを全く意識することはない。画面が遷移することで顧客がECサイトから離脱してしまうことを心配するEC事業者も、ゼウスの「トークン(JavaScript)型」なら安心だろう。

「リンク(画面遷移)型」や「トークン(JavaScript)型」の決済サービスを利用すると、クレジットカード情報はEC・通販事業者保有の機器やネットワークを通過せず、保存もされない。そのため、EC・通販事業者が万一不正アクセスを受けても顧客のクレジットカード情報が流出する心配はない。

(2)カード決済セキュリティの国際基準「PCI DSS」に準拠する

「リンク(画面遷移)型」や「トークン(JavaScript)型」の決済システムを導入せず、顧客のクレジットカード情報を自社で処理・保有する場合、クレジットカード決済の国際的なセキュリティ認証基準である「PCI DSS」に準拠する必要がある。

「PCI DSS」とは、国際クレジットカードブランド5社(American Express、Discover、JCB、MasterCard、VISA)で構成された団体による認証制度。

「PCI DSS」に準拠するにはファイアーウォールを設定したり、顧客のクレジットカード情報を扱うネットワークを業務から分離したりするなど、厳しい基準を満たす必要がある。審査機関による訪問審査や、四半期ごとのセキュリティホールチェックなども求められる。

このように、「PCI DSS」に準拠するには多くの費用と手間がかかるため、実際に取得するEC・通販事業者は少ない。

「『PCI DSS』に準拠するには初期費用が少なくとも数百万円かかるのが一般的です。取得後の定期審査に手間がかかる上、セキュリティの専門家に業務委託が必要になることもあり、『PCI DSS』を検討する企業様も少なくないのですが、実際導入に至ったのは10社以下にとどまっています。そのため、現時点では『リンク(画面遷移)型』や『トークン(JavaScript)型』の決済システムに移行することが現実的な対応策になるでしょう」(小笠原氏)

カード情報の適切な管理を怠ればカード決済が使えなくなる場合も

カード情報の適切な管理を怠ればカード決済が使えなくなる場合も営業統括本部 営業本部 プロジェクト推進部 部長 清田 泰利 氏 

もしEC・通販事業者が2018年3月末までに「リンク(画面遷移)型」や「トークン(JavaScript)型」の決済システムに移行しなかった場合どうなるのか。

じつは、移行しなくても法律にもとづく罰金などの直接的な罰則はない。

ただし、クレジットカード情報を適切に管理しない加盟店は、決済代行会社などが加盟店契約を打ち切る可能性もあるため、将来的にクレジットカード決済を利用できなくなるリスクがある。

「決済代行会社やクレジットカード会社は、クレジットカード加盟店が『実行計画2017』の義務を守るよう指導し、運営状況を管理する義務を負っています。そのため、決済代行会社やクレジットカード会社は、クレジットカード情報を適切に管理しない加盟店様に対して、最終的には加盟店契約を打ち切ることも想定されます。また、加盟店様が顧客のクレジットカード情報を適切に管理しなかったために不正注文などの被害が発生した場合には、クレジットカード会社が加盟店様に調査費用を請求したり、不正注文の売上金の支払いを拒否したりする可能性もあるのです」(清田氏)

電話やFAXで受注する場合のカード情報管理をゼウスの新サービスが解決

「実行計画2017」では、電話やファックス、申込書などを使った通販の注文にもクレジットカード情報の適正な管理を義務付けている。

例えば、コールセンターのオペレーターが電話で注文を受け、電話口で聞き取ったクレジットカード情報を自社で保有する機器に入力しやネットワークで処理する場合、「PCI DSS」に準拠する必要がある。

「PCI DSS」に準拠していない企業は、顧客のクレジットカード情報を自社の機器やネットワークで保存・処理・通過しない仕組みを導入しなくてはならない。その場合の具体的な対応策としては、「PCI DSS」に準拠した決済代行会社が提供する専用決済端末と専用回線をコールセンターに配備し、電話口で聞き取ったクレジットカード情報をその専用端末に入力するといった方法が想定される。

ゼウスでは、電話やFAX、申込書などで注文を受けた際にクレジットカード情報の適切な管理を実現する新サービス「タブレット端末レンタルサービス」を2月5日に開始した。

「タブレット端末レンタルサービス」は、ゼウスが提供する専用タブレット端末を通販事業者に貸し出す。通販事業者はゼウスから借りたタブレット端末に顧客のクレジットカード情報を入力することで、クレジットカード情報を自社の機器やネットワークで保存・処理・通過せずにすむ。

これにより、現場のオペレーションを大きく変更することなく、クレジットカード情報の適切な管理が実現する。すでに健康食品や化粧品などを扱う通販事業者のほか、保険会社やガス会社などへ導入が進んでおり、多くの企業から引き合いがあるという。

「昨年半ばごろから、このような方法でクレジットカード決済を行う企業様から、非保持化に対応したサービスを作って欲しいという要望をいただいていました。タブレット端末を使ったこうしたサービスの提供は業界でも早く、『実行計画2017』の対応期限を目前に控え、多くの企業様から問い合わせをいただいています」(小笠原氏)

偽造カードやなりすましによる「不正使用対策」も必要に

「実行計画2017」では、偽造クレジットカードや盗難カードを使った「なりすまし」の利用などを防ぐこともEC・通販事業者に求めている。

具体的な対策として、「3Dセキュアの導入」「セキュリティコードによる認証」「顧客の属性・行動分析」「配送先情報の確認」などを挙げている。現時点では、これらの対策をどこまで実施すべきか明確には示されておらず、近日公表される予定の「実行計画2018」に詳細が盛り込まれる見通しだ。

「クレジットカード加盟店様の被害状況やリスクに応じて、複数の不正使用対策を組み合わせて実施する運用ルールが作られる見通しです。不正使用対策のルールについても、引き続き行政の動向を注視する必要があるでしょう」(清田氏)

セキュリティとニーズに寄り添ったサービス提供を両立するゼウス

ECサイトへの不正アクセスが相次ぐ中、顧客のクレジットカード情報を守るには、どうすれば良いか。その答えの1つがゼウスの決済サービスだ。

ゼウスは先述した「PCI DSS」に準拠しており、高いセキュリティレベルで事業を運営している。

実はゼウスは「実行計画2017」が公表される以前から、クレジットカード情報の漏えいリスクが低い「リンク(画面遷移)型」を推奨してきた。

「クレジットカード情報を適切に管理することが、加盟店や消費者の皆様の利益に繋がると考えています。ですから弊社は従来よりリンク(画面遷移)型を推奨してきたのです」(小笠原氏)

ゼウスは不正注文の監視にも力を注いでいる。24時間365日リアルタイムで不正注文を監視。20年以上の運営で培った経験とノウハウを活かした独自のアルゴリズムで不正注文の兆しを発見するほか、ブラックリスト管理や目視などを組み合わせることで不正注文を未然に防ぐ。こうした強固な運営・管理体制もゼウスの決済サービスが支持される理由の一つだ。

「弊社は創業当初から『安心・安全の決済』を目指してきました。そのため、これまで情報漏えい事故を起こしたことはありません。システム面はもちろん社員の知識やスキルなど教育面でも、高い目標を掲げてセキュリティの向上に取り組んでいます」(小笠原氏)

ゼウスが提供するクレジットカード決済サービスは、幅広い業種・業態・商材のECサイトやリアル店舗で利用されている。「即時決済」「与信後決済」「継続課金」など多彩なメニューがあり、「決済サービスの豊富さや、質の高さは業界トップレベルだと自負しています」(清田氏)と自信を示す。

初期費用や月額固定費が無料のプランもあり、多くの中小ECサイトからも支持を集めてきた。

セキュリティと加盟店ニーズに寄り添ったサービス提供を両立していることが、累計1万3000サイトに導入された実績につながっている。

カード情報の漏えいは決して他人事ではない

カード情報の漏えいは決して他人事ではない営業統括本部 加盟店営業本部 本部長 小笠原 公一 氏

ECサイトへの不正アクセスは決して他人事ではない。実際、2017年11月から2018年2月上旬までの直近約3ヶ月に限っても、多くのEC事業者が不正アクセスに伴うクレジットカード情報の漏えいを公表している。

「EC業界では今、多くの不正アクセス被害とクレジットカード情報の漏えい事故が起きています。不正アクセスを受けるのは、大規模事業者だけではありません。むしろ、小規模なECサイトはセキュリティ対策を後回しにしてしまっている場合もあるため、情報漏えいの危険性が大きいと言えるかもしれません」(小笠原氏)

カード情報の適切な保持は「消費者、そしてEC業界全体のため」

日本はクレジットカードの利用が欧米に比べて進んでいない。こうした現状を改善し、より便利に買い物を行えるようにするために、EC業界全体でセキュリティ強化に取り組む必要がある。

「『実行計画2017』はクレジットカード加盟店への規制強化と捉えられがちですが、その本来の趣旨は消費者を守ることです。消費者に安心してクレジットカード決済を利用していただけるように、クレジットカード加盟店、決済代行会社、クレジットカード発行会社などすべての関係者がセキュリティレベルを高めていかなくてはいけません」(小笠原氏)

最後に小笠原氏は、クレジットカード情報の漏えい対策を進めることは、EC事業者にもメリットであることを強調してインタビューを締めくくった。

「すべての消費者が、クレジットカード情報の漏えいを心配せずにクレジットカード決済ができるセキュリティ環境が整えば、より多くの消費者がECサイトを利用するようになるでしょう。そうなれば、EC業界全体が一層盛り上がっていくはずです。弊社は、創業当初から顧客満足度への徹底的なこだわりと、それを実現するための体制づくりを心がけています。加盟店様の声に耳を傾け、それに真摯に向き合っていく。常に高いホスピタリティの精神を持ち続けてきた結果、その一つ一つがノウハウとなり、加盟店様のニーズや運用に合わせたきめ細やかなサービスを提供しています。クレジットカード情報の適切な管理の対応期限が迫る中、どう対応したら良いか悩んでいる企業様は、まずはお気軽にお問合せください」 

ゼウスのサービス資料はこちら


記者プロフィール

ECのミカタ編集部

ECのミカタ編集部。
素敵なJ-POP流れるオフィスにタイピング音をひたすら響かせる。
日々、EC業界に貢献すべく勉強と努力を惜しまないアツいライターや記者が集う場所。

ECのミカタ編集部 の執筆記事