クレジットカード情報保護の法令対策に 大きく遅れをとるEC業界 ソニーペイメントサービスが警鐘を鳴らす
ソニーペイメントサービス株式会社 取締役 専務執行役員 南 啓二氏
1990 年、理工系大学院を修了。同年、三和銀行(現・三菱UFJ 銀行)に入行。
ネット戦略室等を経て、2008年、Yahoo !に入社。会員サービス、決済関連の企画部長を担当。
2010 年、ソニー銀行に入社し、2011 年11 月スマートリンクネットワーク(現・ソニーペイメントサービス)へ出向。現在に至る。
クレジットカード業界における、ひとつの区切りだった2018年3月。そして6月1日に控える改正割賦販売法(以下、改正割販法)の施行は、もうひとつの大きな区切りとなります。
しかし、EC業界の対策の遅れに、ソニーペイメントサービス株式会社 取締役・専務執行役員の南 啓二氏は不安の色を隠せません。「もっと危機感を持つべきだ」と訴える、対策の重要性を聞きました。
EC業界は対策が遅れている!未対応企業は急ぎ計画を
業界により、セキュリティ対策への対応に温度差があると感じています。金融庁管轄の企業や報道機関、総務省管轄の通信業社などは、当事者意識が高く『実行計画』をきっちり守って対策を打っています。
一方でEC業界は、その重要性を認識していながらも、対策を後回しにしている企業が多く見受けられます。現時点では罰則規定がないこともあってか、業界内で他社の対応の様子見をしているという印象です。しかし、それでは気づいた時には取り残されていた、ということになってしまいます。
赤信号は皆で渡らない!いずれ信用を失う結果に
あくまで法律で決まったことですから、絶対に遵守すべきです。遵守できない場合、たとえ罰則がないとしても、世の中に「法令を守れない会社」と見なされることになり、信用を失うことにもなりかねません。
企業の法令遵守が社会的に大きな問題として取り沙汰されている昨今。どこから企業のセキュリティ管理体制の甘さが露呈するか分かりませんし、いずれ事業資金を調達する・新規の契約を結ぶといった場面で、それが不利益をもたらす可能性も否定できません。
「カード情報はあまり持っていないから大丈夫」という事業者様もいらっしゃいますが、それは大きな間違いです。たとえ1件でも取り扱っていれば〝当事者〟だということを自覚していただく必要があります。
今、この記事を読んでいる時点でなにも対策を打っていない事業者様は、早急に危機感を持って動き出してください。
改正割販法の施行に向け 今すぐ取るべき対策
『実行計画』では、EC事業者様に対し2018年3月までに「カード情報の漏えい対策(非保持化またはPCI DSS準拠)」および「ECにおける不正使用対策」を求めました。そして改正割販法の施行により、6月1日からはいずれの対策も義務となります。
今後は、セキュリティ対策を講じず、自社サイトからカード情報が漏えいしたり不正に取得されたカードを使用されたりした場合、カード加盟店契約を解除され、カード取引が一切できなくなる可能性があるのです。
カード情報を保持する場合、PCI DSSへ準拠する必要がありますが、膨大なコストと工数をかけてでも準拠するというのは、事業上どうしても保持しなければならない一部の事業者様に限られるでしょう。
おそらく通販事業大手でも数えるほどではないでしょうか。弊社がお取り引きさせていただいている大手企業様でも、PCI DSS準拠を選ばれる方は圧倒的に少数です。
カード情報漏えいに対する現実的な対策は、カード情報の非保持化です。「非保持化」とは、事業者様が保有する機器・ネットワークにおいて、カード情報を「保存」「処理」「通過」しないことを指します。
具体的な方法としては、堅牢なセキュリティで守られているカード決済代行会社にカード情報を預けることや、決済代行会社のサーバーにカード情報を通すことで、事業者様はカード情報の非保持化を実現できます。
カード情報を自社で保存せずに運用する方法
リピート購入機能を導入されている事業者様は、ユーザーが簡単に買い物できるよう、ユーザーのカード情報をサイトに「保存」しているケースがあると思います。
極端ですが、カード情報を「保存」しないための最も簡単な方法は、カード情報に関するデータをいったん全て削除し、対策を講じた上で改めてユーザーに登録してもらう方法です。
しかし、再登録というのはユーザーにとって大変負担がかかるため、決済システムに『カード情報お預かりサービス』を利用していただくことでPCI DSS準拠の弊社が事業者様に代わりカード情報を保存することができます。
このサービスは、カード番号を事業者様が発行する顧客番号や会員ID・購入時の注文番号と紐付けて弊社で保管するサービスで、ユーザーは今まで通り手軽にクイック決済をすることができます。
処理・通過しないとはどういうことか?
現在保有しているカード情報は、決済代行会社へ預けるという対策が取れますが、今後サイトより登録されるカード情報に対して「処理・通過」しないための対策も必要です。「処理・通過」をしているケースとしては、モジュール型などの決済システムを利用している場合が該当します。
弊社では2つの対策をご提供しております。
1つ目は、事業者様のサイトから弊社ドメインの決済画面へ遷移し、ユーザーにカード情報を入力していただく『リンク型画面決済』です。
事業者様のサーバーを通過しないため、「処理・通過」しない運用が可能になります。同様の仕組みを利用し、サイトからの画面遷移ではなく、決済画面のURLを記載したメールのリンク先からカード情報を登録いただく『メールリンク決済』があります。システムの繫ぎ込みが不要であるため、導入が非常に簡単です。ガス会社様など、定期購入の初回登録を行う事業者様にも多くご利用いただいております。
2つ目は、『トークン決済』というサービスです。ユーザーが入力したカード番号に対し、弊社が別の文字列に置き換えたトークンを発行します。そのトークンによって決済を行いますが、トークンはワンタイムの文字列なので、仮に盗まれても悪用される心配はありません。
また、実際にトークン決済を導入いただいている事業者様の声から生まれた、不正使用の水際防止サービスをご提供しています。
セキュリティの観点から多くは語れませんが、例えば短期間に同じカード番号の入力が複数回あった場合や、同じ端末からの連続アクセスがあった場合などにオーソリを遮断するというような機能があります。
トークン決済では、カード番号が別の文字列となってしまうため、決済毎に違う番号となりますが、このような不正使用の水際防止機能を追加することで、怪しい動きを検知することが可能となり、チャージバックを未然に防ぐことができます。
見落としていませんか?業務における カード情報の「保持」
弊社では、100社以上の弊社加盟店様のもとへ実際にお伺いし、決済に関わる運用状況のヒアリングをしました。
自社で対策を講じている加盟店様の中には「うっかり見落としている」というケースが散見されています。
多い事例としては、紙媒体の注文書、テレフォンオーダーやメールオーダーなど、ウェブ以外でご注文を受けた際のカード情報の取り扱いです。現時点では、カード取引伝票やFAX・申込書・メモ等の紙媒体と、その紙媒体をスキャンした画像データ、電話での通話や通話データにカード番号が含まれていても、保持とはみなされません。
しかし、実際の業務運用では紙のまま保存しておくことはなく、自社の管理画面などにデータとして情報を登録する場合、その時点で保持とみなされてしまうのです。
コールセンターなどウェブ以外の受注におけるカード情報「非保持化」対策
ウェブ以外の販売を行っている通販事業者様には、弊社がご提供するカード情報入力業務専用のタブレット『専用端末サービス』があります。
キャリアのネットワークを利用するので、カード情報が事業者様のサーバーを通過しません。導入までの期間が短く、1台あたりの費用は回線費用含め月数千円ほどなので、コールセンターを運用している事業者様におすすめしています。
さらに、電話口で決済を完了させる『IVR決済サービス』もご提供しています。自動音声応答にて完結するため、オペレーターは一切カード情報に触れません。カード情報は弊社が預かり、事業者様が発行する顧客番号や会員IDで管理することができます。
コールセンターの運用やカタログ通販も行っている事業者様は、業務運用に合わせた対策の導入をぜひご検討していただきたいです。
考えなければならないカード情報非保持化“後”の業務運用
カード情報が手元にないという不便を、既に実感している方もいらっしゃるのではないでしょうか。事業者様がカード会社と直接契約をしている場合に、非保持化によって浮かび上がる業務上の課題に対して、PCI DSSに準拠している弊社が業務運用を代行する『業務受託のサービス』で、サポートしています。
代行業務の内容は、カード会社への属性照会やカード会社からの利用内容照会対応・チャージバック対応など、事業者様の運用状況によりさまざまです。導入した事業者様からは、セキュリティ対策だけでなく業務工数削減による効果の声もいただいています。
一例をあげると、ある弊社加盟店様では、カード会社から不定期に届くカード緊急無効通知(カード情報の更新・無効化依頼)の郵便物やFAXの保管・破棄の管理に頭を悩ませており、弊社が通知の受領からカード情報(カード番号・有効期限)の更新・無効化処理まで一連の業務を代行することで、月に20時間以上も作業時間を削減できたという事例があります。さらに、情報管理に対する精神的な負担も大きく軽減されたそうです。
不正アタック急増中!自社サイトがまさかの標的に!? 最悪、カード取引停止も
この数カ月で不正アタックや不正使用は非常に増えています。2倍や3倍というレベルではありません。他国はどこも対策を講じてしまい、不正使用を行う側にとって日本は恰好のマーケットと見なされています。不正使用の相手はシステムなので、ターゲットとされる会社の規模は大小関係ありません。
そのような中、カード情報の非保持化対策に比べ、不正使用対策については特に対策の遅れが際立っていると感じています。カード情報の非保持化対策を完璧に行っていても、不正使用対策を講じないまま不正に取得したカードを自社サイトで使用されては元も子もありません。
そして「不正使用できるサイト」という情報が広がれば、ますます標的となり被害は拡大、チャージバックにより企業経営に大きな痛手を負うことになります。
対策を講じないまま大量に不正使用された事業者様は、今後カード会社とも契約できなくなる可能性があります。自分の身を守るためにも、さらにはEC業界全体の信頼を損なわないためにも、絶対に不正使用対策を怠ってはなりません。
求められるのは多面的・重層的な不正使用対策
弊社ではカード情報の不正使用対策として、国際カードブランドが推進するパスワード認証『3Dセキュア』に加え、独自の本人認証『認証アシストサービス』をご提供しています。このサービスはカード会社に登録している生月日などの本人属性情報を決済時に照合する仕組みで、非対面決済業者の中で唯一カード会社とダイレクト接続をしている弊社ならではのサービスです。
不正使用対策の一つに、カードに印字された数字を入力させる『セキュリティコード』が広く一般的に普及していますが、最近では、カード番号とともにセキュリティコードも盗み取られることがあるため、過去の取引情報などをもとに不正取引かどうかを判定したり、蓄積された不正配送先情報に照合するなど、多面的・重層的な対策が必要です。
最近ではAIを利用した高度な不正検知サービスもあり、弊社でもより効果的な不正検知サービスの拡充を進めています。また、システムでの検知以外にも個別で怪しい動きをする取引があれば属性照会に応じています。
セキュリティ意識の高い弊社の加盟店様においては、不正使用や情報漏えいといった被害は極めて少なく、チャージバック件数に至っては、他社決済システム利用と比べて1/10程度です。
セキュリティ体制全体を見直す「絶好の機会」という捉え方
弊社加盟店様へのカード情報セキュリティ対策推進については、メールやホームページで告知し、お電話でもフォローしているので、6月1日までに対応や計画の目途が立っています。
ともすれば、しつこいと思われてしまうほどに注意喚起を行う弊社の様な決済代行会社もあれば、事業者様の自主性に任せている会社も存在します。そのような会社の決済システムを利用している事業者様の対策の遅れが大変気がかりです。
「どこから手をつけたら良いのか分からない」という事業者様も多いでしょう。「手間もコストもかかるのに売上げに直結しない」と後回しにしている事業者様もいるかもしれません。そのような考えでセキュリティ対策が後ろ手になってしまっている業界全体に対し、今回の法改正を契機にセキュリティ対策はもちろん、システムや業務フローなど、ショップ運用全体を見直す良い機会として前向きに捉えようと呼びかける事業者様もいらっしゃいます。
セキュアな環境が大前提 そして次のステージへ
国際化が進む中、法令の改正により国を挙げてセキュリティ強化を推進しています。
口を酸っぱくしてお伝えしておりますが、実行計画における対応期限2018年3月に対策が間に合わなかった事業者様は、2018年6月1日に向けて早急に動きだしてください。カード情報のセキュリティ対策は必ず決済の専門家にご相談することが一番の解決策とも言えます。
弊社では多種多様な事業者様をバックアップして参りました。そのノウハウを基にEC業界全体のさらなる健全な発展を支えたいと考えています。大切なユーザーと事業者様自身を守るために、抜本的なセキュリティ体制の見直しが進むことを切に願っています。
<ECのミカタ通信 2018 SPRING vol.15より抜粋>
記者プロフィール
ECのミカタ編集部
ECのミカタ編集部。素敵なJ-POP流れるオフィスにタイピング音をひたすら響かせる。
日々、EC業界に貢献すべく勉強と努力を惜しまないアツいライターや記者が集う場所。
