EC構築・ノウハウ

  •  PR 

クレジットカード情報の非保持化とは?必要な理由や対応方法を解説

クレジットカード情報の非保持化とは、自社の保有する機器やネットワークでカード情報を「保存」「処理」「通過」しないことです。法律により、カード加盟店にはカードの非保持化が義務付けられています。

しかし、「どう対応すべきか詳しく知りたい」と感じている人もいるのではないでしょうか。

そこで今回は、下記の流れでクレジット情報の非保持化について解説します。

  • クレジットカード情報の非保持化の対応が必要な理由
  • クレジットカード情報の非保持化の対応をしないことによるリスク
  • クレジットカード非保持化への対応方法3つ
  • 加盟店の非保持化導入例

クレジットカード情報の非保持化の概要から対応方法まで知りたい方は、ぜひご一読ください。

クレジットカード情報の非保持化とは?

クレジットカード情報の非保持化とは、自社のネットワークや機器でカード情報を「保存」「処理」「通過」しないことです。

つまり、単純に「サイト内でカード情報を保存していなければ大丈夫」というわけではありません。

クレジットカード情報の非保持化は、下記3つのすべてを満たしたときに初めて実現されます。

非保存カード情報を保存しない
非処理カード情報を処理しない
非通過カード情報を通過させない

クレジットカード情報の非保持化の対応が必要な理由

クレジットカード情報の非保持化が必要な理由は、割賦販売法によりクレジットカードを利用する加盟店に対して「カード情報などの漏えい対策」が求められているからです。

2016年2月には、クレジット取引セキュリティ対策協議会が「クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画」を発表しました。

さらに「クレジットカード・セキュリティガイドライン3.0(実行計画の後継文書)」のなかでも、クレジットカードの非保持化に関する記載があります。

そもそもカード情報を自社で保持していなければ、カード情報を窃取されることがなく、情報漏えいの観点からも有効なセキュリティ対策と考えられる。しかし、カード情報を保持しなくても事業を運営できる事業者と、保持しなければ事業を運営できない事業者があるため、各事業者の実態を踏まえた対策を講じることが重要である。

引用:「クレジットカード・セキュリティガイドライン3.0」

近年は、ECサイトの脆弱性や送信元を偽ったメールなどによりカード情報が盗み取られる被害も多数報告されています。

クレジットカードを不正に利用した犯罪を防ぐためにも、各事業者にはカード情報の適切な管理が求められているのです。

▼クレジットカードセキュリティガイドライン【3.0】の詳細はこちらもチェック

クレジットカード情報の非保持化の対応をしないことによるリスク

結論からお伝えすると、クレジットカード情報の非保持化の対応をしないことによる加盟店への表立った罰則規定はありません。

参考:「クレジットカード・セキュリティガイドライン FAQ」

しかし注意すべきなのは、カード会社から加盟店契約を解除される恐れがあることです。
クレジットカードの十分なセキュリティ対策が実施されていない加盟店に対しては、契約先のカード会社などから必要な対策を講じるよう指導を受けることがあります。

指導が行われたあとも必要な対策が実施されない場合、加盟店を解除されてしまうリスクがあるのです。カード会社から契約を解除されてしまうと、事業者の売上低下につながります。

また、カード情報の非保持化は、加盟店がクレジットカードを扱う方針として公開されていることもあり、今後法的な罰則を受けない可能性もゼロではありません。

加盟店のクレジットカード非保持化への対応方法3つ

クレジットカード・セキュリティガイドラインでは、クレジットカード非保持化への対応として下記3つのいずれかを加盟店に求めています。

  1. クレジットカード情報の非保持化を行う
  2. クレジットカード情報の非保持化と同等の対応を行う
  3. PCI DSSに準拠した対応を行う

加盟店は、自社のネットワークや機器でカード情報を「保有する場合」と「保有しない場合」でそれぞれ取るべき対策が異なります。

クレジットカード・セキュリティガイドラインで求められている具体的な指針対策は、次のとおりです。

前提として、自社のネットワークや機器でカード情報を保有する「通過型」の場合、カード情報保持に該当します。

したがって、会員情報をより適切に管理するために「クレジットカード業界の国際的なセキュリティ基準」であるPCI DSSに準拠する必要があります。

では、それぞれの対応方法を詳しく見ていきましょう。

【方法1】クレジットカード情報の非保持化を行う

自社のネットワークや機器でカード情報を「保有しない場合」、必ずしもPCI DSSに準拠する必要はありません。

この場合、クレジットカード情報の非保持化を行うことで、カード情報保護の観点ではPCI DSS準拠と同等の効果があるものとして認められています。

前述したように、クレジットカード情報の非保持化は下記3つのすべてを満たしたときに初めて実現されます。

非保存カード情報を保存しない
非処理カード情報を処理しない
非通過カード情報を通過させない

【方法2】クレジットカード情報の非保持化と同等の対応を行う

2つ目は、クレジットカード情報の非保持化と同等の対応を行う方法です。

MT・TO加盟店・対面加盟店のうち、自社のネットワークや機器でカード情報を保有する「通過型」の場合、PCI DSSに準拠した対応もしくはクレジットカード情報の非保持化と同等の対応を行うことが求められます。

クレジットカード情報の非保持化と同等の対応には、「PCI P2PE認定ソリューションを導入した内回り方式」があります。

【方法3】PCI DSSに準拠した対応を行う

PCI DSSとは、カード会員データを保護するために定められた「クレジットカード業界の国際的なセキュリティ基準」のことです。

「通過型」の場合、カード情報保持に該当することから、カード会員データをより適切に管理するためPCI DSSに準拠した対応を行う必要があります。
ただし、PCI DSSへの準拠は要件が厳しく、膨大なコストと時間がかかるため自社での対応は現実的でありません。

したがって、PCI DSS準拠事業者にカード決済を委託したり非通過型を採用したりするのがおすすめです。

EC加盟店の非保持化導入例2つ

EC加盟店の非保持化導入例を紹介します。

  1. リダイレクト型(リンク型)
  2. JavaScript型(トークン型)

それぞれを導入した際の注意点もお伝えしますので、ぜひ参考にしてください。

【例1】リダイレクト型(リンク型)

リダイレクト型(リンク型)とは、カード決済時にEC加盟店のサイトではなく、決済サービスプロバイダーの画面に遷移させて決済を行う方式です。

顧客は決済サービスプロバイダーの決済ページでカード情報を入力するため、EC加盟店がカード情報を保持することはありません。
なお、リダイレクト型の場合、決済時にEC加盟店のサイトから決済サービスプロバイダーの決済画面に遷移するため、顧客によっては違和感や不安を感じてしまうことがあります。

結果として、顧客が注文自体をとりやめてしまうこともあるので注意が必要です。

【例2】JavaScript型(トークン型)

JavaScript型(トークン型)は、ECサイト加盟店の決済画面に決済サービスプロバイダーが提供するJavaScript APIを組み込んで利用し、決済を行う方式です。

JavaScript型ではECサイト加盟店のサーバーを経由することなく、顧客から直接決済サービスプロバイダーの決済サーバーにカード情報が送信されます。
そのため、ECサイト加盟店が顧客のカード情報を保持することはありません。

JavaScript型の場合、決済時にECサイト加盟店のサイトから画面が遷移することはなく、顧客は通常通りに買い物を楽しめます。
ただし、ECサイト加盟店のサイトに不正のJavaScriptを埋め込まれ、顧客のカード情報が盗まれる可能性もある点に注意が必要です。

MO・TO加盟店の非保持化導入例3つ

続いて、MO・TO加盟店の非保持化導入例を紹介します。

  1. 非通過型:決済専用端末を利用した外回り方式
  2. 非通過型:タブレット端末を利用した外回り方式
  3. 通過型:PCI P2PE 認定ソリューションを導入した内回り方式

それぞれの特徴について見ていきましょう。

【例1】非通過型:決済専用端末を利用した外回り方式

1つ目は、PCI DSSに準拠した決済専用端末を利用する方法です。

MO・TO加盟店のオペレーターが、自社の業務用端末ではなく決済専用端末で注文情報を入力するため、外回りでの非保持化が実現します。
また、開発すれば自社の業務用端末と連携させることも可能です。

ただし、連携させる場合には業務用端末の決済結果に顧客のカード情報を含めないことが条件です。さらに、通信回線はキャリアなどの外部の回線を使用しなければなりません。

決済専用端末を利用する方法は、次に紹介するタブレットの場合と比較してコストがかかってしまいます。

【例2】非通過型:タブレット端末を利用した外回り方式

決済代行プロバイダーなどから提供されているタブレット端末を利用した方法です。MO・TO加盟店のオペレーターが、タブレット端末で注文情報を入力します。

このときタブレット端末は、自社の業務用端末とは異なるネットワーク下にあることが条件です。

決済専用端末を利用する場合と比較してコストを抑えられるものの、タブレット特有の操作しづらさを感じることがあります。

【例3】通過型:PCI P2PE 認定ソリューションを導入した内回り方式

PCI P2PEは、最初にカードを読み取るデバイスから決済処理ポイントまで、カード会員データが暗号化されて転送される仕組みです。

PCI P2PE 認定ソリューションを利用することで、カード会員データの解読が極めて難しくなり、不正利用のリスクが減ります。

そのため、非保持と同等/相当のセキュリティ対策を取ることが可能です。

クレジットカードの不正利用への対策も重要

クレジットカード情報の非保持化は、法律でも対応が求められているうえ、カード情報などの漏えい対策として重要です。

しかし、クレジットカード情報の非保持化への対応をしたとしても、カードの不正利用を防ぎきれるわけではありません。
そのため非保持化だけでなく、さまざまな不正手口への対策を講じることが重要です。

たとえば、不正注文検知サービス「O-PLUX」は、累計110,000サイト以上の注文データをもとにリアルタイムで不正注文の判定を行います。

商品の出荷前に不正注文を見抜き、チャージバックの発生も防ぐことが可能です。

さらに、O-PLUXならUI/UXはそのままに、顧客が違和感を覚えることなく審査できます。

高い精度で不正注文を検知できるO-PLUXについて、導入を検討したい方は以下をご確認ください。

O-PLUX 公式サイト

1万円で2週間のトライアル利用も受付中!
O-PLUXのトライアルはこちら

また、クレジットカードの不正利用が起こる原因や対策をさらに詳しく知りたい方は、次の記事をご一読ください。

まとめ:加盟店にはクレジットカード非保持化への対応が求められる

クレジットカード情報の非保持化について解説しました。

加盟店がクレジットカード情報の非保持化の対応をしない場合、カード会社から契約を解除されてしまう恐れがあります。
さらに、カード会員情報を漏えいさせてしまうと、企業の社会的信用が低下したり損害賠償を請求されたりと影響が大きいです。

情報漏えいを防ぐためにも、クレジットカードの非保持化への対応を行いましょう。

▼クレジットカードセキュリティガイドライン【3.0】の詳細はこちらもチェック

ピックアップ記事

  1. 不正アクセスとは?主な4つの手口と対策、被害事例を紹介
  2. 二要素認証とは?二段階認証との違いや活用事例、3つの要素を解説!
  3. 旅行事業者・旅行者が知っておくべき「不正トラベル対策」
  4. eKYCとは?注目が集まる3つの理由や、メリット・デメリットを解説!
  5. 【購入者から見る後払い決済】利用手順やメリット・デメリット、未払い時の対応は?

関連記事

  1. EC構築・ノウハウ

    ECサイトの停止事例・情報漏洩が与えるダメージと3つの対策を解説

    ECサイト運営において、情報漏洩は最大のリスクです。実際に、個人情報が…

  2. EC構築・ノウハウ

    支払い方法にはどのような種類がある?決済方法の一覧と注意点を紹介

    「現金支払い以外にも、どんな支払い方法があるのかな」「それぞれの支…

  3. EC構築・ノウハウ

    自社後払いとは?利用者・事業者のメリットや導入時の注意点

    自社後払いとは、その名のとおり自社で独自に構築・提供する後払い決済のこ…

  4. EC構築・ノウハウ

    アトカラとは?ECサイトへの導入のメリットや注意点を解説!

    「アトカラとはどんな後払い決済サービスなの?」「後払い決済をECサ…

  5. EC構築・ノウハウ

    個人でネットショップを開業する6ステップと失敗しない5つのポイント

    インターネットが普及したことも影響し、ネットショップで買い物をする人を…

  6. ECモール出店

    EC構築・ノウハウ

    ECモールに出店するメリットや注意点は?出店にかかる費用まで徹底解説

    「ECモールに出店するメリットや注意点は何?」「ECモールに出店す…

EC不正事業者セルフチェックシート
漫画3匹の子豚でわかるどこよりもわかりやすいWebセキュリティ入門
漫画ウサギとカメでわかるどこよりもわかりやすいEC不正注文対策 無料ダウンロード

おすすめ記事

  1. チャージバックとは?不正が起こる原因と事業者が行うべき5つの…
  2. 【2024年最新】クレジットカードの不正利用被害は過去最高額…
  3. フィッシングサイトを検知する3つの方法!企業が受ける被害例も…
  4. 3Dセキュア2.0を導入後も不正注文対策は必要!理由とおすす…
  5. QRコード決済は危険?不正利用される原因や安全に使える電子決…
漫画3匹の子豚でわかるどこよりもわかりやすいWebセキュリティ入門

お役立ち資料

いざという時に。不正アクセス被害後の対応手順マニュアル
  1. ユニバ チケット アイキャッチ

    消費者向け

    ユニバのチケットの買い方を解説!関西でおすすめの遊園地6選も紹介
  2. 情報漏洩後 安全性

    不正検知・ノウハウ

    過去に個人情報漏洩があった企業・サービスは大丈夫?安全性から見る利用の判断
  3. 偽サイトは簡単に作れる アイキャッチ

    不正アクセス

    【注意】偽サイトは簡単に作れる!本物(公式)との見分け方や偽サイトを作らせない対…
  4. 不正検知・ノウハウ

    2016年改正、2018年施行の割賦販売法とは?「実行計画」の中身も解説
  5. アカウント乗っ取り

    不正アクセス

    アカウントの乗っ取りとは?想定被害と4つの対策
PAGE TOP