“トークン決済”なら、ECサイトそのままで「カード情報の非保持化」（第2回）

【経済産業省が発表したEC事業者が2018/3までにするべきこと -第2回-】

①「カード情報の非保持化」対応可否の鍵は、購入者の『カード情報入力』が
　ECサイトのサーバー上で行われるかどうか

②“トークン決済” か “リンクタイプ” が「カード情報の非保持化」の対応方法

③“トークン決済” とはカード情報をトークン（＝乱英数字の文字列）に
　置き換えて決済処理するもの
----------------------------------------------

◆本コラムについて◆
2016年2月、経済産業省より、EC事業者は2018年3月までに、「カード情報の非保持化」もしくは「PCI DSS準拠」の対応をしなければいけないという指針が出ました。
このコラムでは、その内容や対策方法についてお話していきます。
ECサイト・通販を運営している事業者の皆さまは、対応が必要かもしれませんので、是非ご一読いただければと思います。

【第1回】クレジットカードのセキュリティ対策は2018年3月までに！
https://www.ecnomikata.com/column/10973/

“トークン決済” か “リンクタイプ” が「カード情報の非保持化」の対応方法

今回のテーマは “トークン決済” です。
これは何かと言いますと、経済産業省が求めている「カード情報の非保持化」となるカード決済システムの一つです。

「カード情報の非保持化」と専門用語が出てきたので、簡単に前回のおさらいをします。

経済産業省から、2018年3月までに、EC事業者はクレジットカードのセキュリティ対策をするよう指針が出ました。クレジットカードのセキュリティ対策とは、「カード情報の非保持化」もしくは「PCI DSS準拠」の対応をすることを指します。
「カード情報の非保持化」は、カード情報がECサイトのサーバー上を「保存」「処理」「通過」をしない状態のことです。データベースに保存されているカード情報だけでなく、ログにカード情報が含まれている場合も対象なので注意する必要があります。

昨今、ECサイトから盗んだカード情報を不正使用した、偽造カードや本人なりすましなどが増加しています。これを断つべく、ECサイト上にクレジットカード情報を持つのをやめましょうというのが、経済産業省が指針として「カード情報の非保持化」を求めている理由となります。

少し脱線しますが、ここで、EC事業者の皆さまのECサイトが、「カード情報の非保持化」になっているかのチェックをしてみましょう。

いかがでしたでしょうか？
購入者の『カード情報入力』が、決済代行事業者のサーバー上で行われるカード決済システムを利用していれば、「カード情報の非保持化」となっています。
一方、購入者の『カード情報入力』が、ECサイトのサーバー上で行われていれば、「カード情報の非保持化」にはなっていないので、対応が必要となります。

話を戻しまして、EC事業者の皆さまのECサイトを「カード情報の非保持化」にする方法を説明します。
経済産業省では、「JavaScript を使用した非通過型」「リダイレクト（リンク）型」の2種類を推奨しています。

私たちGMOペイメントゲートウェイでは両方とも提供しており、「JavaScriptを使用した非通過型」のカード決済システムについては、 “トークン決済” という名称で提供しています。

“トークン決済” はカード情報をトークン（＝乱英数字の文字列）に置き換えて決済処理するサービス

ECサイト上にクレジットカード情報を持つことが良くないので、クレジットカード情報を、トークンと言う意味のない乱英数字の文字列に置き換える仕組みが、 “トークン決済” です。
置き換えたトークンで、クレジットカード決済処理のように、オーソリ処理や売上処理なども行います。

これによって、万が一ECサイトのサーバーが攻撃を受け、不正アクセスにより情報が窃取されても、盗まれた情報はトークン情報（意味のない乱英数字）で、クレジットカード情報ではありません。
カード情報漏えいが防げるというわけです。

クレジットカード情報からトークンへの変換は、私たちGMOペイメントゲートウェイのサーバーで行います。
購入者が氏名や配送情報などを入力した後の『カード情報入力』の画面に、JavaScriptという技術を使って、購入者のクレジットカード情報をGMOペイメントゲートウェイのサーバーに送信します。
その後、GMOペイメントゲートウェイでカード情報をトークンに置き換えて、ECサイトのサーバーに送り戻し、トークンにて決済処理を行います。

GMOペイメントゲートウェイでは、決済の取引ごとに1回限りのトークンを発行して、より安全性を高めています。

“トークン決済” のメリット

“トークン決済” のメリットは大きく2つあります。

●購入者への負担が少ないこと
クレジットカード情報がトークンに置き換わったことは、購入者にはわかりません。
よって、購入者が違和感を覚えることなく、通常どおりのネットショッピングをしていただけることが、一番のメリットと言えます。

●カード決済システムのシステム改修が少ないこと
今回、何らかのクレジットカードセキュリティ対策が必要なEC事業者の皆さまの大半が、「モジュール／プロトコルタイプ型」と言われるカード決済システムをご利用かと思います。
“トークン決済” は、現在ご利用のカード決済システム（「モジュール／プロトコルタイプ型」）に、 “トークン決済” の仕組みを追加することで対応できます。
そのため、カード決済システムの全面改修が必要な “リンクタイプ”より、システム改修が少ない場合が多いです。

なお、 “トークン決済” には、不正なJavaScriptを埋め込まれ情報を抜き取られるリスクがあります。
“リンクタイプ“ もですが、絶対安全ではないことをご承知おきください。

“トークン決済” の対応が良いECサイト

“トークン決済” と “リンクタイプ” 、そしてPCI DSS準拠が、EC事業者の皆さまの選択肢となります。
今回は、“トークン決済”が合うだろうと考えられるECサイトをご紹介します。

----------------------------------------------
●カード決済システムで「モジュール／プロトコルタイプ型」を利用しているECサイト
●決済代行事業者を利用していないECサイト
----------------------------------------------

まず、今、決済代行事業者を利用し、カード決済システムが「モジュール／プロトコルタイプ型」であるECサイトは、先ほどお話したとおり、現在ご利用のカード決済システムに “トークン決済” を追加すればよいので、一概には言えませんが、システム改修が抑えられます。

次に、決済代行事業者を利用していないECサイトの場合は、自社でカード決済システムを開発し、カード決済処理をしているので、ある程度大きなECサイトかと思われます。
ですので、PCI DSS準拠を選ぶEC事業者さまもいらっしゃるでしょうが、この機会にカード決済システムを私たちのような決済代行事業者に委託しようと考えられる場合は、自由にカスタマイズができる “トークン決済” がオススメです。
“トークン決済” なら、現在の自社ECサイトに適した設計・運用のカード決済システムを踏襲することができます。

なお、ECサイトではないですが、電話注文やTV通販などECサイト以外の通販事業も、このたびの「クレジットカードのセキュリティ対策」の対象となります。
購入者から注文を受ける際の、カード情報入力先が、「カード情報の非保持化」対応した通販の管理システムであれば対応は不要ですが、自社開発の管理システムや「モジュール／プロトコルタイプ型」を利用した通販の管理システムの場合は、ECサイトと同じく、 “トークン決済” か “リンクタイプ” に変更する必要があります。



最後に、本日のまとめです。
----------------------------------------------
●EC事業者は、決済代行事業者利用の有無にかかわらず、
　「カード情報の非保持化」の対応要否を確認する必要がある
●「カード情報の非保持化」の対応方法のひとつである “トークン決済” は、
　現在「モジュール／プロトコルタイプ型」を利用しているECサイトにオススメ
　（ECサイト以外の通販にもオススメ！）
----------------------------------------------

GMOペイメントゲートウェイでは、今回の “トークン決済” をはじめ、セキュリティソリューションを数多く提供しております。”トークン決済” をもっと詳しく知りたい方、ご自身のECサイトに適切な対策方法が知りたい方がいらっしゃいましたら、ぜひお気軽にご相談ください。

【お問合せフォーム】　https://krs.bz/gmopg/m?f=504/?s=ecmikata161012

“トークン決済” ： https://www.gmo-pg.com/service/function/token/
セキュリティソリューション ： https://www.gmo-pg.com/service/mulpay/security/