クレジットカード情報の非保持化とは、自社の保有する機器やネットワークでカード情報を「保存」「処理」「通過」しないことです。法律により、カード加盟店にはカードの非保持化が義務付けられています。
しかし、「どう対応すべきか詳しく知りたい」と感じている人もいるのではないでしょうか。
そこで今回は、下記の流れでクレジット情報の非保持化について解説します。
- クレジットカード情報の非保持化の対応が必要な理由
- クレジットカード情報の非保持化の対応をしないことによるリスク
- クレジットカード非保持化への対応方法3つ
- 加盟店の非保持化導入例
クレジットカード情報の非保持化の概要から対応方法まで知りたい方は、ぜひご一読ください。
目次
クレジットカード情報の非保持化とは?
クレジットカード情報の非保持化とは、自社のネットワークや機器でカード情報を「保存」「処理」「通過」しないことです。
つまり、単純に「サイト内でカード情報を保存していなければ大丈夫」というわけではありません。
クレジットカード情報の非保持化は、下記3つのすべてを満たしたときに初めて実現されます。
| 非保存 | カード情報を保存しない |
|---|---|
| 非処理 | カード情報を処理しない |
| 非通過 | カード情報を通過させない |
クレジットカード情報の非保持化の対応が必要な理由
クレジットカード情報の非保持化が必要な理由は、割賦販売法によりクレジットカードを利用する加盟店に対して「カード情報などの漏えい対策」が求められているからです。
2016年2月には、クレジット取引セキュリティ対策協議会が「クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画」を発表しました。
さらに「クレジットカード・セキュリティガイドライン3.0(実行計画の後継文書)」のなかでも、クレジットカードの非保持化に関する記載があります。
そもそもカード情報を自社で保持していなければ、カード情報を窃取されることがなく、情報漏えいの観点からも有効なセキュリティ対策と考えられる。しかし、カード情報を保持しなくても事業を運営できる事業者と、保持しなければ事業を運営できない事業者があるため、各事業者の実態を踏まえた対策を講じることが重要である。
近年は、ECサイトの脆弱性や送信元を偽ったメールなどによりカード情報が盗み取られる被害も多数報告されています。
クレジットカードを不正に利用した犯罪を防ぐためにも、各事業者にはカード情報の適切な管理が求められているのです。
▼クレジットカードセキュリティガイドライン【3.0】の詳細はこちらもチェック
クレジットカード情報の非保持化の対応をしないことによるリスク
結論からお伝えすると、クレジットカード情報の非保持化の対応をしないことによる加盟店への表立った罰則規定はありません。
参考:「クレジットカード・セキュリティガイドライン FAQ」
しかし注意すべきなのは、カード会社から加盟店契約を解除される恐れがあることです。
クレジットカードの十分なセキュリティ対策が実施されていない加盟店に対しては、契約先のカード会社などから必要な対策を講じるよう指導を受けることがあります。
指導が行われたあとも必要な対策が実施されない場合、加盟店を解除されてしまうリスクがあるのです。カード会社から契約を解除されてしまうと、事業者の売上低下につながります。
また、カード情報の非保持化は、加盟店がクレジットカードを扱う方針として公開されていることもあり、今後法的な罰則を受けない可能性もゼロではありません。
加盟店のクレジットカード非保持化への対応方法3つ
クレジットカード・セキュリティガイドラインでは、クレジットカード非保持化への対応として下記3つのいずれかを加盟店に求めています。
- クレジットカード情報の非保持化を行う
- クレジットカード情報の非保持化と同等の対応を行う
- PCI DSSに準拠した対応を行う
加盟店は、自社のネットワークや機器でカード情報を「保有する場合」と「保有しない場合」でそれぞれ取るべき対策が異なります。
クレジットカード・セキュリティガイドラインで求められている具体的な指針対策は、次のとおりです。
前提として、自社のネットワークや機器でカード情報を保有する「通過型」の場合、カード情報保持に該当します。
したがって、会員情報をより適切に管理するために「クレジットカード業界の国際的なセキュリティ基準」であるPCI DSSに準拠する必要があります。
では、それぞれの対応方法を詳しく見ていきましょう。
【方法1】クレジットカード情報の非保持化を行う
自社のネットワークや機器でカード情報を「保有しない場合」、必ずしもPCI DSSに準拠する必要はありません。
この場合、クレジットカード情報の非保持化を行うことで、カード情報保護の観点ではPCI DSS準拠と同等の効果があるものとして認められています。
前述したように、クレジットカード情報の非保持化は下記3つのすべてを満たしたときに初めて実現されます。
| 非保存 | カード情報を保存しない |
|---|---|
| 非処理 | カード情報を処理しない |
| 非通過 | カード情報を通過させない |
【方法2】クレジットカード情報の非保持化と同等の対応を行う
2つ目は、クレジットカード情報の非保持化と同等の対応を行う方法です。
MT・TO加盟店・対面加盟店のうち、自社のネットワークや機器でカード情報を保有する「通過型」の場合、PCI DSSに準拠した対応もしくはクレジットカード情報の非保持化と同等の対応を行うことが求められます。
クレジットカード情報の非保持化と同等の対応には、「PCI P2PE認定ソリューションを導入した内回り方式」があります。
【方法3】PCI DSSに準拠した対応を行う
PCI DSSとは、カード会員データを保護するために定められた「クレジットカード業界の国際的なセキュリティ基準」のことです。
「通過型」の場合、カード情報保持に該当することから、カード会員データをより適切に管理するためPCI DSSに準拠した対応を行う必要があります。
ただし、PCI DSSへの準拠は要件が厳しく、膨大なコストと時間がかかるため自社での対応は現実的でありません。
したがって、PCI DSS準拠事業者にカード決済を委託したり非通過型を採用したりするのがおすすめです。
EC加盟店の非保持化導入例2つ
EC加盟店の非保持化導入例を紹介します。
- リダイレクト型(リンク型)
- JavaScript型(トークン型)
それぞれを導入した際の注意点もお伝えしますので、ぜひ参考にしてください。
【例1】リダイレクト型(リンク型)
リダイレクト型(リンク型)とは、カード決済時にEC加盟店のサイトではなく、決済サービスプロバイダーの画面に遷移させて決済を行う方式です。
顧客は決済サービスプロバイダーの決済ページでカード情報を入力するため、EC加盟店がカード情報を保持することはありません。
なお、リダイレクト型の場合、決済時にEC加盟店のサイトから決済サービスプロバイダーの決済画面に遷移するため、顧客によっては違和感や不安を感じてしまうことがあります。
結果として、顧客が注文自体をとりやめてしまうこともあるので注意が必要です。
【例2】JavaScript型(トークン型)
JavaScript型(トークン型)は、ECサイト加盟店の決済画面に決済サービスプロバイダーが提供するJavaScript APIを組み込んで利用し、決済を行う方式です。
JavaScript型ではECサイト加盟店のサーバーを経由することなく、顧客から直接決済サービスプロバイダーの決済サーバーにカード情報が送信されます。
そのため、ECサイト加盟店が顧客のカード情報を保持することはありません。
JavaScript型の場合、決済時にECサイト加盟店のサイトから画面が遷移することはなく、顧客は通常通りに買い物を楽しめます。
ただし、ECサイト加盟店のサイトに不正のJavaScriptを埋め込まれ、顧客のカード情報が盗まれる可能性もある点に注意が必要です。
MO・TO加盟店の非保持化導入例3つ
続いて、MO・TO加盟店の非保持化導入例を紹介します。
- 非通過型:決済専用端末を利用した外回り方式
- 非通過型:タブレット端末を利用した外回り方式
- 通過型:PCI P2PE 認定ソリューションを導入した内回り方式
それぞれの特徴について見ていきましょう。
【例1】非通過型:決済専用端末を利用した外回り方式
1つ目は、PCI DSSに準拠した決済専用端末を利用する方法です。
MO・TO加盟店のオペレーターが、自社の業務用端末ではなく決済専用端末で注文情報を入力するため、外回りでの非保持化が実現します。
また、開発すれば自社の業務用端末と連携させることも可能です。
ただし、連携させる場合には業務用端末の決済結果に顧客のカード情報を含めないことが条件です。さらに、通信回線はキャリアなどの外部の回線を使用しなければなりません。
決済専用端末を利用する方法は、次に紹介するタブレットの場合と比較してコストがかかってしまいます。
【例2】非通過型:タブレット端末を利用した外回り方式
決済代行プロバイダーなどから提供されているタブレット端末を利用した方法です。MO・TO加盟店のオペレーターが、タブレット端末で注文情報を入力します。
このときタブレット端末は、自社の業務用端末とは異なるネットワーク下にあることが条件です。
決済専用端末を利用する場合と比較してコストを抑えられるものの、タブレット特有の操作しづらさを感じることがあります。
【例3】通過型:PCI P2PE 認定ソリューションを導入した内回り方式
PCI P2PEは、最初にカードを読み取るデバイスから決済処理ポイントまで、カード会員データが暗号化されて転送される仕組みです。
PCI P2PE 認定ソリューションを利用することで、カード会員データの解読が極めて難しくなり、不正利用のリスクが減ります。
そのため、非保持と同等/相当のセキュリティ対策を取ることが可能です。
クレジットカードの不正利用への対策も重要
クレジットカード情報の非保持化は、法律でも対応が求められているうえ、カード情報などの漏えい対策として重要です。
しかし、クレジットカード情報の非保持化への対応をしたとしても、カードの不正利用を防ぎきれるわけではありません。
そのため非保持化だけでなく、さまざまな不正手口への対策を講じることが重要です。
たとえば、不正注文検知サービス「O-PLUX」は、累計110,000サイト以上の注文データをもとにリアルタイムで不正注文の判定を行います。
商品の出荷前に不正注文を見抜き、チャージバックの発生も防ぐことが可能です。
さらに、O-PLUXならUI/UXはそのままに、顧客が違和感を覚えることなく審査できます。
高い精度で不正注文を検知できるO-PLUXについて、導入を検討したい方は以下をご確認ください。
1万円で2週間のトライアル利用も受付中!
O-PLUXのトライアルはこちら
また、クレジットカードの不正利用が起こる原因や対策をさらに詳しく知りたい方は、次の記事をご一読ください。
まとめ:加盟店にはクレジットカード非保持化への対応が求められる
クレジットカード情報の非保持化について解説しました。
加盟店がクレジットカード情報の非保持化の対応をしない場合、カード会社から契約を解除されてしまう恐れがあります。
さらに、カード会員情報を漏えいさせてしまうと、企業の社会的信用が低下したり損害賠償を請求されたりと影響が大きいです。
情報漏えいを防ぐためにも、クレジットカードの非保持化への対応を行いましょう。
▼クレジットカードセキュリティガイドライン【3.0】の詳細はこちらもチェック
