昨今急速に整備が進むクレジットカードのセキュリティ対策の一環として、EC事業者は2018年3月末までにカード情報の非保持化またはPCIDSS(Payment Card Industry Data Security Standard)への準拠、もしくはカード情報の非保持化が求められています。期限まで半年を切った現在、多くの事業者がセキュリティ強化に取り組む中、皆さまはいかがでしょうか?
経済産業省は2020年東京オリンピックイヤーを目途に、カード情報に関する個人情報の入力などがECサイトのサーバー上で保存・処理されない仕組みを構築する「カード情報非保持化」を推奨しております。背景にはカード情報漏えいによる国内の2015年被害額が120億円にのぼり、2012年から3年で約1.8倍に増加したことから、こうしたリスクを回避することが目的です。
現在ではまだ、罰則等の規程は設けられていないようですが、今後決済システムの導入や、まだ非保持化に対応されてない場合はカード業界の動向を注視していく必要がございます。
本記事では、間近に迫ったカード情報の非保持化やPCI DSS等のセキュリティ対策を実施する上で、今後どのようなことに注意し準備をすすめていくべきか、弊社にご相談いただいた実際の例を交えながらご説明してまいります。
カード情報非保持化になるとどうのなるの??
カード情報の非保持化が実施されると、今後どういうことが起こりえるのでしょうか。現状、非保持化に対応しない形で運用をされていらっしゃる加盟店様では、PCI DSSの準拠が必須となります。
PCI DSSとはカード会員の個人情報保護のために策定された国際統一基準です。準拠のためには6項目12要件、約400項目を遵守し、QSAの審査をパスする必要があり、仮に99%の要件を満たしていても、1%の項目に不備があると完全準拠とみなされないという厳格な審査です。
もし、PCI DSSに未準拠のまま、カード情報の漏えい等の事件が発生した場合、加盟店は顧客からの信頼を失うことはもちろん、カードブランドから多額の賠償金を課せられる可能性もあり、大きなリスクを追うことになります。
こうした状況から、各社何らかの形でカード情報非保持化対策を講じるか、PCI DSSの準拠の二択を迫られることになるでしょう。そして多くの場合で、手続きと更新のハードルが高いPCI DSSへの準拠を回避することになります。
決済代行会社である弊社も毎年更新を行っておりますが、膨大な質問への回答・セキュリティ対策の強化など、一度取得した後も保持し続ける事は容易な事ではありません。弊社の加盟店様を見渡しても、決済事業者以外で、PCI DSSの準拠にそこまでのコストと時間を掛けられる企業は多くはないでしょう。
【最新事例】非保持化対策で注意しておきたいこと!
WEB上でのクレジットカード決済を行うEC事業者様等を中心に、カード情報の非保持化のための手段として良く最近耳にする決済方式に「トークン方式」というものがございます。
トークン方式とは、現状カード決済をAPI方式やゲートウェイ方式といわれる接続方式で導入されてらっしゃる方、新規でご導入をご検討されてらっしゃる方向けの手段となります。
トークン決済について「トークン決済とは、お客様(エンドユーザー)様が入力したクレジットカード情報を弊社サーバーに送信し、トークン(別の文字列)に変換した上で決済を実施する、クレジットカード情報非通過型の決済となります。 加盟店様はクレジットカード情報に触れることなく決済を実施することが可能となります。」(非保持型接続方式)
参照: ROBOT PAYMENTトークン決済トークン方式を採用すれば、加盟店側は個人情報を自前で保管することなくカード決済ができるようになるため、PCI DSS準拠のための手続きも不要になります。セキュリティ強化の流れを踏まえても、今後、決済方式のスタンダードとなっていくことが予想されています。
しかし、トークン方式には落とし穴があることに注意が必要です。「とりあえずトークン方式にしておけば非保持化対策は完了!」と思っている方、運用方法によってはトークン方式でも運用がそもそも難しい場合や、非保持化にならない場合がございます。
ここからは、ロボットペイメント社に実際にご相談いただいた加盟店様の運用方法と改善イメージをご紹介し、非保持化を進める上での注意事項を
■事例1:宿泊予約のカード決済~業務オペレーションの不備~
<現在の運用方法>
①担当者が電話口にて事前の予約と同時にクレジットカード番号をユーザーから直接聞き出す。
②担当者が決済代行会社のシステムにアップしてカードの与信枠を抑える。
③ユーザーの宿泊後、登録したクレジットカード情報を元に決済処理を行う。
上記の運用では、たとえトークン方式を導入したとしても、店舗側がカード情報を保持してしまうオペレーションであることはおわかりでしょうか?
電話で注文を受けた担当者が情報を漏洩したり、悪用する可能性があることが考えられます。これは、例えシステム上は対策がとれていたとしても、業務オペレーションの観点から非保持化に失敗しているケースです。
<改善後の運用方法>
①予約完了後、ユーザーのメールアドレス宛に予約サイトを案内。
②サイト上でユーザーが自らカード情報を入力。
③トークン方式で予約サイトから店舗のサーバーを介さずカード情報を決済代行会社に送信。
④ユーザーの宿泊後、決済代行会社に決済処理の指示を通知。
上記のように、自前のデータベースや担当者を介さず、宿泊者のカード情報を取り扱うことができるような業務オペレーションの構築を構築することが、非保持化対策の基本となります。
■事例2:ウォーターサーバーの月額利用料のカード決済
<現在の運用方法>
①ご契約時、ユーザーにウォーターサーバーご契約書へカード情報をご記入いただく。
②担当者が契約書の情報をCSVに転記、決済代行会社システムにアップロードを行い登録。
③次月以降、担当者が当月の課金金額を管理画面にアップし課金。
上記の運用のままトークン化を施したとしてもカード情報保持となってしまいます。そもそも機密情報であるはずのカード情報を紙に残していては、セキュリティの観点から本末転倒であることは明らかなので改善は急務であると言えるでしょう。
<今後の運用方法>
①ご契約後、カード登録用の会員マイページを案内する。
②ユーザーがマイページに入力した情報をトークン方式で自社を介さず、決済代行会社に送信
③マイページへのユーザー情報登録を待ってサービス提供開始。
このようにユーザーがマイページを通して自ら情報を入力する仕組みを構築してしまえば、セキュリティの観点だけでなく、業務効率化においても効果を発揮します。
上記2つの例だけでなく、業務フローの問題などが絡むと、自社だけでトークン方式のメリットを享受するのは一気に難しくなります。専門家の相談を仰ぎ、まずは決済セキュリティの観点からも理想的な業務フローの構築を進めることをお勧めします。
リアル決済でも非保持化に向けた取り組みが進む
カード情報非保持化に関して取り組みが加速しているのは、何も決済代行業界だけではありません。その他の業種でも大手有名企業を中心に新たな動きが起こっています。
例えばあの東急ハンズや高島屋、パルコでも現状の運用の確認や対策やリスクなどについて準備が進められているそうです。背景には米国の大手スーパーでは、カード情報等漏えいにより、多額の賠償に発展した事例などがあるようです。
例のように、インターネット上の決済だけではなく、対面決済で使うPOSシステムなどもカード情報のリスクに備え、カード情報非保持化のための抜本的なシステム改革が進んでいます。
安全だと思っていたシステムも情報の通過場所などを見直すと、外部からアタックを受けた場合抜き取られ悪用されるリスクが運用上みつかることは往々にしてあります。これからのキャッシュレス化の進行もあり、カード情報のセキュリティに関する対策は、今以上に重要に取り組むべき事案となっていることはまちがいありません。
その他の業界でも非保持化に向けてそれぞれシステム化や運用方法の見直しなど、様々な改善や対策が今後もされていくでしょう。
著者プロフィール 辻 ひかり ROBOT PAYMENT入社後、決済サービス営業部へ配属。入社一年目で四半期MVPを獲得。 これまで実店舗決済、オンライン決済合わせて1,000店舗以上の決済システムの導入に携わる。 現在はオンライン決済事業部のリーダーとして、決済システム導入の相談から運用まで、顧客の課題を解決へ導いている。
※本記事は「ROBOTPAYMENT公式ブログ」に掲載されたものを転載しております。
週刊アスキーの最新情報を購読しよう