近年店舗やECサイトでのキャッシュレス決済が普及し、クレジットカード情報の取扱いはより慎重さが求められています。企業がカード情報を保持する場合、情報漏えいが起きると信用失墜に直結します。こうした背景があり、事業者がカード情報を保持しない「カード情報の非保持化」が改めて注目されています。
そこで本記事では、カード情報の非保持化の概要をはじめ、保有時のリスクやPCI DSSとの違いを紹介します。合わせて非保持化の具体的な方法や、販売チャネルごとの対策も徹底解説します。
クレジットカード情報の取扱いについて理解を深めたい事業者の方は、ぜひご一読ください。
カード情報非保持化とは何かを正しく理解しよう
カード情報の非保持化とは、事業者が保有する機器・ネットワークにおいて、クレジットカード情報を保存・処理・通過しないことを指しています。
カード情報を保持している例は、会員情報と合わせてクレジットカード情報を保存している、コールセンターの担当者がクレジットカード情報をヒアリングし保存しているなどがあげられます。
事業者がクレジットカード情報の「保存」は避けるべきということは、容易に想像できるかもしれません。しかし保存以外にも、事業者のシステムで決済処理したり、カード情報が通過したりするだけでカード情報の保持に当たり、情報漏えいのリスクが発生します。
つまりカード情報の非保持化を実現するためには、決済代行会社など外部システムを利用して自社の機器・ネットワークを経由させない仕組みを構築する必要があります。
法改正により全加盟店に義務化されている
2018年の割賦販売法改正により、加盟店には「カード情報の非保持化」または「PCI DSS準拠」のいずれかへの対応が義務付けられました。カード番号の適切な管理や不正利用の防止などが大きな目的です。
割賦販売法の改正を受けて、一般社団法人日本クレジット協会は「クレジットカード・セキュリティガイドライン」を発表しました。このガイドラインでは、カード情報の非保持化の実務上の指針を定めています。加盟店は明記された措置を講じることで、割賦販売法の基準を満たしているとみなされます。
ガイドラインにおいて加盟店に対応が求められる指針対策は、以下の通りです。
| 取引方法 | ガイドライン | 指針対策 |
|---|---|---|
| 対面取引 | ガイドライン26項 | 加盟店は、カード情報を保持しない非保持化(非保持と同等/相当を含む)、またはカード情報を保持する場合はPCI DSSに準拠する。 |
| 非対面取引 | EC加盟店ガイドライン32項 | ・カード情報を保持しない非保持化、またはカード情報を保持する場合は PCI DSS に準拠する。・EC 加盟店のシステムおよび Web サイトの「脆弱性対策」を講じる。 |
| MO・TO取引取扱加盟店ガイドライン41項 | カード情報を保持しない非保持化(非保持と同等/相当を含む)、またはカード情報を保持す る場合は PCI DSS に準拠する。 |
参考:2.改正割販法とクレジットカード・セキュリティガイドラインとの関係|一般社団法人日本クレジット協会
割賦販売法では顧客のクレジットカード情報を守るために、他にもさまざまな施策を打ち出しています。
カード情報を保有することで発生するリスク
ここからは事業者がカード情報を保有することで発生するリスクについて、以下の3項目から解説します。
それぞれの項目を詳しく確認していきましょう。
情報を持つだけで漏えいや訴訟リスクが生じる
事業者が顧客のカード情報を持つだけで、漏えいのリスクが生じます。万が一情報が漏れると、不正利用や詐欺に直結する危険性があります。
もし事業者の管理体制に問題がある場合、ハッキングや内部不正などで情報が外部に漏れてしまうこともあり得ます。セキュリティ対策が万全でない企業は、発生リスクが高まる懸念があります。
カード情報の漏えいが発覚した場合、訴訟や損害賠償に発展する恐れがあります。結果、事業者としての信用がなくなるだけでなく、情報が漏えいした顧客の人数分のカード再発行手数料、不正利用分の賠償、損害賠償金などの支払いが必要になります。特に顧客の数が多い事業者は、売り上げが吹っ飛ぶような大惨事となるでしょう。
事業者がカード情報を預かることは、さまざまなリスクが付きまとうことを念頭に置いておくべきです。
割賦販売法と業界ガイドラインの規制がある
カード情報を保有する事業者には、割賦販売法および業界ガイドラインによって厳格な情報管理が義務付けられています。これらのルールを遵守することで罰則を受けるリスクが大幅に減り、事業者として信用を継続できる上に罰則から免れられます。
そもそも割賦販売法とは、クレジットカード決済に関わる事業者を規制する法律で、消費者が安全に取引できるようにルールが定められています。割賦販売法では、例えばクレジットカード決済端末のIC対応導入が推奨されています。偽造カードによる不正利用対策のためです。
ECサイトを介した非対面取引においても、カード情報を守る法律が定められています。本人認証(3Dセキュア)やセキュリティコードの導入が一例です。二段階認証を取り入れることで、不正利用を防止しています。
またカード情報は画像データや音声録音データについても、非保持化に対応しなければならず注意が必要です。データ化されたカード情報だけでなく、「個人情報」という目で見ると分かりやすいかもしれません。
割賦販売法や業界ガイドラインは、事業者が正しい判断を行うための指針となります。これらを遵守することで、自社の信頼と顧客の情報の両方が守られます。
一部の加盟店では通過が続いている実態がある
一部の加盟店ではいまだにカード情報を通過させる運用が続いていて、非保持化が達成されていない実情があります。割賦販売法や業界ガイドラインにルールは定められているものの、割賦販売法自体に直接的な罰則規定は少なく、カード会社や決済代行会社による取引停止・契約解除といった事業上の制裁が実質的なリスクとなります。古いシステムをそのまま使用している事業者や、コストを抑えたい事業者が存在します。
ただセキュリティ対策が不十分な加盟店は、カード会社からセキュリティ対策措置の指導が入ることがあります。もし改善が見られない場合、契約解除になる恐れがあります。クレジットカードが使えなくなると、ECサイトは売り上げ減少に直結し、店舗では顧客や取引先に不信感を与えることにつながります。
そもそもカード情報の非保持化には、保存だけでなく処理・通過しないことが含まれます。自社の機器やネットワークを通さず、決済のプロである決済会社がカード処理を代行するようにすれば、事業者は情報を通過する必要もありません。
したがって罰則規定がなくとも、割賦販売法に従って非保持化のルールは守るべきです。
非保持化とPCI DSSの違いとは?加盟店が選ぶ2つの対策
クレジットカードの情報を守る対策には、「非保持化」だけでなく「PCI DSS」があります。どういった違いがあるのでしょうか。
ここからはカード情報の非保持化とPCI DSSの違いについて、以下の3点から解説します。
セキュリティ対策について理解を深めていきましょう。
非保持化できない場合はPCI DSSが必要になる
カード情報が非保持化できない場合、PCI DSSに準拠することで情報漏えいリスクを軽減できます。
PCI DSSとは、クレジットカードの情報保護を目的とした情報セキュリティの国際基準で、「Payment Card Industry Data Security Standard」の略です。American ExpressやDiscoverをはじめとする5社のクレジットカードブランドが、共同で策定した基準です。
もし顧客のカード情報を自社の機器やネットワークで保持する場合、加盟店・銀行・決済代行会社がPCI DSSに準拠する必要があります。
実は業界ではPCI DSS遵守よりも、基本的にカード情報の非保持化が推奨されています。非保持化の方がシンプルで分かりやすい手段で、事業者の負担・コストを抑えられるためです。
PCI DSSは国際基準で要件が厳格に定められている
PCI DSSは国際基準で要件が厳格に定められているため、現実的ではないという見方もあります。PCI DSSは12の要件と約400の要求事項から構成されていて、全てに対応する必要があるためです。
PCI DSS準拠には訪問審査と自己問診の2つの方法があります。訪問審査は、PCI国際評議会によって認定された審査機関による訪問を受けて認証を得る方法です。カード情報の取扱い規模の大きな事業者に要請されています。
また自己問診は、PCI DSSの要求事項に基づいたアンケートに回答して、全て「Yes」であれば準拠していると認められます。カード情報の取扱い件数が少ない一般加盟店向けの手段です。
PCI DSS遵守によって、企業の信用・ブランド価値の向上だけでなく、ハッカーやクラッカーなどによるWebサイトへの不正アクセスを保護し、サイトの改ざんや悪用、情報盗用などのリスクを減らすことが可能です。
両者は併用できないため事前に選択が求められる
カード情報の「非保持化」と「PCI DSS準拠」はセキュリティ対策に有効な手段です。しかし両者を同時に適用することは基本的に想定されておらず、いずれかを選択する必要があります。
非保持化は事業者がカード情報を扱わないのに対し、PCI DSSはカード情報を扱うことを前提としていて、取扱い方が全く異なるためです。
例えばオンラインショップでのクレジットカード決済方法が、外部の決済代行会社の提供する画面・リンクに委ねる運用の場合、カード情報は自社のネットワークには一切通過せず「非保持化」が成立します。
一方で、決済において一度でも自社のネットワークを通る設計の場合、非保持化とは認められずPCI DSS準拠に向けた対応が必要です。
このようなセキュリティ対策の必要性は、2016年2月にクレジット取引セキュリティ対策協議会が発表した「クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画」によって明らかにされました。非保持化かPCI DSSに対応すべきという方針は、この時点で方向づけられており、事業者には早急な対応が求められます。
自社のサービスにおいて、どちらのセキュリティ対策に適しているかをリスクやコスト、手間などの観点から事前に判断して、最適な方法を選択することが重要です。
非保持化に対応するための具体的な方法
カード情報の非保持化について、概要をご理解いただけたのではないでしょうか。次のステップとして「具体的に何をすれば良いのか」を把握しておきたいところです。
非保持化に対応する具体的な方法は、以下の3つです。
それぞれ順番に確認していきましょう。
リンク型決済はECサイトに有効な非通過手段
ECサイトを運用する事業者の場合、リンク型決済が非保持化に有効な手段です。リンク型決済では、決済代行会社が提供する決済ページに移った上で処理が行われるため、自社のネットワークにはカード情報が一切通過しません。つまりカード情報の「保持・処理・通過」のいずれにも該当せず、非保持化が成立します。
例えばユーザーが商品をカートに入れた後、決済ボタンを押すと決済代行会社が管理する外部リンクへ移動してカード情報などの個人情報を入力します。カード情報は事業者の管理下に入ることはありません。
決済代行会社では高度なセキュリティ対策が行われているため、カード情報が漏えいするリスクは非常に低いです。セキュリティ対策が万全なだけでなく、事業者自身が対策を行う必要がない面もメリットといえます。
つまりリンク型決済は、非保持化を確実に実現する上に導入負担も比較的軽いため、ECサイトにとって実用的な手段といえます。
トークン決済ならカード番号を扱わずに済む
トークン決済を利用すれば、実際のカード番号を扱うことなく決済処理が可能です。そもそもトークン決済とは、カード番号を特定できない別の文字列に変換して決済を行う手段です。また決済代行会社で完結するサービスのため、カード情報の非保持化に当たります。
ユーザーがカード情報を入力する時、決済代行会社のシステム内で即座にトークン化された後、取引が処理されます。万が一決済代行会社に不正アクセスが生じても、暗号化されたトークンしか表示されないため、カード情報を読み取られることはありません。
またトークン決済は情報漏えい対策以外に、ユーザーのサイト離脱防止にもつながります。決済画面は一見ECサイトのシステムで入力しているように見えるため、ユーザーが違和感を抱いて決済を中止する心配がないためです。
トークン決済を導入すれば、カード番号を取り扱わない非保持化を技術的に実現可能で、情報漏えいやユーザーのサイト離脱防止につながります。PCI DSS準拠に向けて、大きな負担を背負う必要がなくなります。
信頼できる決済代行会社の選定が重要になる
カード情報の非保持化を実現するには、信頼できる決済代行会社の選定が重要です。適切なパートナー選びはセキュリティ強化を確実にし、ビジネスのリスクを軽減することができるためです。
決済代行会社は、中にはセキュリティ対策を事業者に任せてアドバイスをしないことがあります。サポート体制の充実度は、事前に確認することが重要です。他にも決済代行会社のシステムは「通過型」と「非通過型」の2種類が存在し、それぞれを見極める必要があります。通過型の場合、事業者の機器・ネットワークにカード情報が保存されることがあり、大切な情報が抜き取られるリスクがあります。一方で非通過型は、決済代行会社が決済に関わる全てを完結させるため、情報漏えいのリスクは下がります。つまり非通過型がカード情報の非保持化に該当します。
信頼できる決済代行会社と連携しセキュリティ対策を行うことで、自社のセキュリティリスクの軽減が可能です。安心してカード決済を運用することができるでしょう。
さらに決済代行会社に頼り切らずセキュリティ動向を把握するためには、情報サイトの活用やカード情報の非保持化に関するセミナーへの参加が有効です。実務に即した情報収集を意識することが大切です。
販売チャネルごとに非保持化を実行するために必要な対応
カード情報のセキュリティを守るためには、販売経路に応じたセキュリティ対策を実施する必要があります。
販売チャネルごとに非保持化を実行させるために必要な対応は、以下の3つです。
それぞれ詳しく確認していきましょう。
WAFやIP制限で管理画面への不正アクセスを遮断する
ECサイトの管理画面への不正アクセスを防ぐためには、WAFやIP制限を導入することが重要です。管理画面は顧客情報にアクセスできる重要なページであり、セキュリティ対策を行うべき基本部分です。攻撃者が管理画面にアクセスしてしまうと、カード情報が盗まれたりシステムを不正に操作したりするリスクが高まります。
そもそもWAFとはWeb Application Firewallの略で、Webアプリケーションをサイバー攻撃から保護するためのセキュリティシステムを指しています。WFAを導入することで、PCI DSS準拠に対応可能です。クラウド型のWAFを導入したり、アプリケーションの改修を行ったりする方法があります。
そしてIP制限とは、ECサイト事業者が決めたIPアドレスのみアクセスを許可し、それ以外はアクセスを拒否するセキュリティ対策です。Webサイトの脆弱性対策に効果があり、外部からのサイバー攻撃を防ぐことができます。Webサーバーに設定ファイルを使用したり、各クラウドで必要な設定を行ったりする方法があります。
WAFやIP制限によってシステムのセキュリティを強化し、管理画面への不正アクセスを防止することが可能です。
再決済時にもカード番号を扱わない仕組みを取り入れる
再決済時にカード番号を直接扱わない仕組みを取り入れることが重要です。カード情報を再度取り扱うことで、PCI DSS準拠の観点からも問題がある上に、セキュリティリスクや情報漏えいの可能性が高まります。
再決済時にカード番号を扱わない仕組みには、例えばトークン決済を導入する方法があります。トークン決済は決済代行会社が提供するサービスである上に、カード番号を特定できない別の文字列に変換して決済を行うため、セキュリティは万全といえます。
また、そもそも決済代行会社にカード情報の処理・保存などを一任することも、セキュリティが万全な再決済に至る仕組みのひとつです。決済関連は全て決済代行会社が担うため、セキュリティ対策の負担を大幅に軽減できます。
このように再決済時にカード番号を扱わない仕組みを取り入れることで、顧客のカード情報を守るだけでなく、事業者としてのリスクや負担軽減につながります。トークン化を含む決済代行会社のサービスを活用して、安全でスムーズな決済環境を整えることが重要です。
電話注文やIVRでは番号を通さずに処理する方法を選ぶ
電話注文やIVR(自動音声応答)を通じた取引においても、カード番号を事業者側で扱わない手段を選択することがポイントです。
電話注文ではオペレーターが顧客のカード番号を聞き取って、手動で入力する形式が一般的です。しかしこの方法はカード情報が人の手に触れているため、情報漏えいや不正利用のリスクが一定数あるといえます。またIVRでは、自動音声の指示に従ってカード情報を伝えます。事業者のシステムに送信される通過型にはセキュリティ面でのリスクがあるため、PCI DSS準拠が求められます。
電話注文やIVRでリスクを回避するには、セキュリティ対策「セキュアペイメントサービス」を導入する必要があります。例えば非通過型IVRを導入すると、顧客がカード情報を入力した後に、情報が決済代行会社に直接送られます。カード情報の非保持化が実現していることになります。またセキュアリンク送信型決済を行うことで、安全な決済リンクに情報を入力することが可能です。電話の後にSMSにリンクを送信するため、不信感は一定数払拭されるといえるでしょう。
電話注文やIVRの取引においても、カード番号を通さない手段を選ぶことで、セキュリティリスクの低減が実現します。ECサイトに限定せず、あらゆる販売チャネルで非保持化を進めることが、今後の標準となっていくでしょう。
カード情報非保持化対応の決済システム導入ならネクストハンズ
事業者が顧客のカード情報を守るためには、非保持化や強固なセキュリティ対策を実現することが重要です。セキュリティの甘さによって情報漏えいが起こった場合、企業の信用問題に関わります。
ECサイトの決済に不安がある方は、ネクストハンズの利用を検討してみてください。ネクストハンズはECサイトの専門業者として、最適な決済サービスの提案・導入のサポートを行っています。多くの決済サービスと提携しているため、ぞれぞれの違いやメリット・デメリットを把握した上で、納得して決済サービスが決められます。
決済サービスは、セキュリティ面が最も注意すべき点だと考えています。昨今のクレジットカード情報の流出を踏まえて、国も高いセキュリティ対策を求めています。ネクストハンズであれば、運用サーバーのセキュリティ対策や監視体制ともに基準をクリアしているため心強いです。
ECサイトを安全に運用したい事業者の方は、ぜひご相談ください。
お問い合わせはこちら