EC事業者対応必須！カード情報非保持化とは？

　ほとんどすべてのECサイトで決済手段として提供されているクレジットカード。近年、クレジットカードの不正使用被害が拡大していることを受け、セキュリティ対策の強化を求める動きがある。ここでは、2018年3月までにECサイトが対応すべき「クレジットカードのセキュリティ対策」をまとめる。

なぜ今、クレジットカードのセキュリティ対策が求められているのか？

　2016年2月、クレジット取引セキュリティ対策協議会が、「クレジットカード取引におけるセキュリティ対策の協会に向けた実行計画（以下、実行計画）」を発表した。この発表の背景にあるのは、ECの増加に伴い、2013年からクレジットカードの不正使用被害が増加に転じていることだ。日本クレジットカード協会の集計によれば、被害額は約114億円にのぼるという。その中でも、特に漏えいしたカード情報の不正使用被害の伸びが顕著なのが、「EC店舗」であり、全体の約6割近くを占めているのだ。

　このような状況を受け発表された「クレジットカード取引におけるセキュリティ対策の協会に向けた実行計画」では、EC事業者に対し、2018年3月までに「カード情報の非保持化」もしくは「PCIDSS準拠」の対応を求めている。

なぜECサイトにセキュリティ対策を求めるのか？

　クレジットカードの不正使用被害の増加が、EC事業者へのセキュリティ対策要請へとつながった理由は、セキュリティ対策が不十分なECサイトを狙った不正アクセスによるカード情報の流出が後を絶たないため。不正アクセスの手口が巧妙化し、ECサイトからカード情報が盗まれるケースが相次いでいる。不正アクセスにより盗まれたカード情報は、なりすましや偽装カードによって不正に使用されており、この被害拡大に歯止めをかけようとする狙いだ。

実行計画でEC事業者に求められていること
　実行計画ではEC事業者に対し「カード情報保護」を求めており、対策方法としては、「カード情報の非保持化」もしくは「PCI DSS準拠」がこれにあたる。

カード情報の非保持化とは？
「カード情報の非保持化」とは、カード情報がECサイトのサーバー上を「保存」「処理」「通過」をしない状況のこと。つまり、決済手続きの際にカード情報の入力を行うが、これをECサイトのサーバー上で行わないことをいう。カード情報の入力がECサイトのサーバー上で行われている場合には、カード情報非保持化に対応するカード決済システムを導入することで「カード情報の非保持化」に対応できる。

カード情報の非保持化となる決済システムとは？
　カード情報の非保持化となるカード決済システムは「JavaScriptを使用した非通過型」と「リダイレクト（リンク）型」の2種類が推奨されている。

　「JavaScriptを使用した非通過型」は、購入者が入力したカード番号をトークン（乱英数字の文字列）に置き換えるもの。ECサイトのサーバー上では、カード情報の入力ではなくトークン入力となり、万が一、不正アクセスの被害に遭ったとしても意味を持たないトークン情報のみが盗まれ、カード情報の漏えいを防ぐことができるのだ。「JavaScriptを使用した非通過型」のカード決済システムを使うメリットは2つ。クレジットカード情報がトークンに置き換わっていることは購入者にはわからないため、違和感なく購入ができること。また、「リダイレクト（リンク）型」に比べ、システム改修が少なくて済むことが挙げられる。

　「リダイレクト（リンク）型」とは、カード情報の入力を決済代行業者のサーバー上で行うこと。決済代行会社が用意する「決済画面」やテンプレートを使用するため、導入が簡単で時間が掛からないことがメリットとして挙げられる一方、カスタマイズしずらいことがデメリットにあたる。


　これらは、すべてのEC事業者を対象に2018年2月までに対応することが求められている。お客様を、自店舗を守る重要な取り組みとして早めに対策を打っておくべきだろう。自社のセキュリティ対策状況をしっかり把握できていないという場合には、決済代行会社に問い合わせてみることをおすすめする。