ECサイトは2018年までにクレジットカード決済の方法を変更するか(クレジットカード情報非保持化)、PCI DSSへの準拠が必要

楽天ショップで高額商品を購入したら、ショップからクレジットカードの不正利用を疑われた。 ECサイト構築・運営
この記事は約6分で読めます。

ECサイトは2018年3月末までにクレジットカード決済の方法を変更するか、PCIDSSへの準拠が必要

ECサイト事業者様は既にご存知だと思いますが、2018年3月末までにクレジットカード決済の方法を変更するか、PCIDSSへの準拠が必要です。

これは、経済産業省が国際水準のクレジットカード取引のセキュリティ環境を整備する為にまとめた実行計画によるものです。
EC事業者様の対応は2018年3月末までとなっていますので、残りあと1年6ヶ月です。
その間に、システム改修、もしくはPCIDSS認定取得が必要となります。
参考:クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画を取りまとめました~国際水準のクレジットカード決済環境の整備を進めます~
参考:クレジットカード取引における セキュリティ対策の強化に向けた実行計画 -2016-【公表版】

クレジットカード決済は欠かせないインフラとなった

依然として国内消費が横ばいで推移しているにも関わらず、クレジットカード決済の取引高は伸び続けています。

2014年にはクレジットカード決済の取扱高46兆円を超えています。
近年、急成長するECサイトにおいても、クレジットカードはメインの決済手段としての役割を果たしています。
今や、クレジットカードは商取引きにおける重要なインフラとして確固たる地位を築いています。

クレジットカード決済の取り扱いが増える一方、クレジットカードの不正使用は増加している

クレジットカード決済が欠かせない決済手段となり、カード決済の取り扱いが増える一方で、クレジットカードの不正使用お増えています。
クレジットカード情報の漏洩・流出は1年に何回か発生しており、皆さんも1年に1度は耳にしているかと思います。

クレジットカード不正使用の増加はEC業界の活性化が原因

クレジットカード不正使用の増加の原因の1つとして、EC業界の活況化が挙げられます。

日本クレジット協会によりますと、2014年には約114億円の被害が生じています。
特に、ECサイトにおけるクレジットカード不正使用が、全体の6 割近くを占めています。

クレジットカードの不正使用には、漏洩したカード情報が使用されている訳ですが、外部からの攻撃に対してセキュリティが脆弱なECサイトからの漏洩が増加しています。
つまり、カード情報の漏洩の増加とカード不正使用の増加の多くが、いずれもがECサイト起因によるものです。

カード不正使用で集められた資金は犯罪組織の資金源になっている

尚、カード不正使用で集められた資金は犯罪組織の活動資源となっています。
その為、クレジットカード決済を導入しているEC事業者は社会正義の観点からも、セキュリティ対策に真剣に取り組む責務があることを認識する必要があります。

ECサイトに求められる対応は、クレジットカード決済の方法変更、もしくはPCIDSSの認定取得

では、ECサイト事業者様は2018年3月末までにどのような対応をすれば良いのでしょうか?

対応策としては2つあります。
ECサイト事業者様は、以下のいずれかを2018年3月末までに対応する必要があります。

対応策1:クレジットカード情報入力を決済代行会社システムで行う非通過型に変更する

ECサイトのクレジットカード決済には「通過型」と「非通過型」の2種類があります。

通過型とは、ECサイト内でクレジットカード情報を入力する方式のことです。
実際のカード認証、決済処理は決済代行会社で行っていても、カード情報を入力するページがECサイト内に存在していれば、それは通過型になります。
決済代行会社の中には、「埋め込み型」「API型」「データ伝送型」「データ連携型」「モジュール組込型」などと呼んでいるところもあります。

一方、非通過型とは、クレジットカード情報入力を決済代行会社のシステムで行う方式のことです。
非通過型の多くは、ECサイトからいきなり別ページ(決済代行会社の管轄するクレジットカード情報入力ページ)へ遷移するので、皆さんもご存知かと思います。
決済代行会社の中には、「リンク型」「画面遷移型」「画面連携型」「決済画面提供型」「Webリンク型」などと呼んでいるところもあります。

別の言い方をすると、クレジットカード情報の入力ページのURLがECサイトと同じドメインであれば通過型。
クレジットカード情報入力ページのURLがECサイトと異なるドメイン(決済代行会社システムのドメイン)であれば非通過型ということになります。

尚、既に非通過型を採用しているECサイトは、今回は対応する必要がありません。
(後述のPCI DSS認定取得も不要です。)

しかし、現在、通過型を採用しているECサイト、つまりサイト内でクレジットカード情報を入力するEC事業者様は対応が必須となります。
対応とは、通過型を非通過型に変更するか、後述のPCI DSS認定取得のいずれかです。

PCI DSS認定取得する為には、専門コンサルタントに相談する必要もあります。
また、コンサルタントの指示でシステムを改修する必要があり、コスト的には非通過型にする方がかなり格安になります。

対応策2:PCI DSSに準拠する

もう一つの方法としては、PCI DSSに準拠(認定取得)することです。
(PCI DSSに関しては後述致します。)

上述の通り、PCI DSSの認定を取得する為には、専門コンサルタント(専門会社)に相談する必要がありますし、多かれ少なかれシステムの改修の指示がコンサルタントから出ます。
その為、PCI DSS認定取得の為のコンサルタント費用、システム改修費用、社内運用整備などの金銭的・人的コストが掛かって参ります。

また、認定を取得したからといって、それで終わりではなく、PCI DSSに準拠した運営を継続して行う必要があります。
その為、ECサイト事業者様にとっては、かなり負担が掛かる選択になります。

2018年3月末まであと1年6ヶ月です。
短いようであっという間に迫ってきます。
今から対応を検討し、早めに着手することをお勧め致します。

PCI DSSとは?またPCi DSS認定取得のメリット。

最後にPCI DSSについてご説明致します。

PCI DSSとは何でしょうか?
またPCi DSSの認定を取得するメリットとはどのようなものでしょうか。
以下、参考サイトからの引用となりますが、ご覧下さい。
参考:PCIDSSとは|日本カード情報セキュリティ協議会

PCI DSSとは

加盟店やサービスプロバイダにおいて、クレジットカード会員データを安全に取り扱う事を目的として策定された、クレジットカード業界のセキュリティ基準です。
Payment Card Industry Data Security Standardsの頭文字をとったもので、国際カードブランド5社(American Express、Discover、JCB、MasterCard、VISA)が共同で設立したPCI SSC(Payment Card Industry Security Standards Council)によって運用、管理されています。

PCI DSSの認定を取得するメリット

PCI DSS遵守により、企業価値(信用、ブランド)の向上はもちろんのこと、これまでの個人情報保護制度と違い、より具体的にセキュリティポリシーを定義されることにより、現実的にハッカーやクラッカー等による 様々な不正アクセスからお客様のサイトを保護し、サイトの改ざんや悪用、情報盗用などのリスクを低減します。
また、PCIDSSを推奨する国際5ブランドの一つビザ・インターナショナルでは、加盟店等からカードに関する情報が流出して不正使用された場合、その加盟店がPCI DSSに準拠していれば、 その管理責任のあるカード会社(アクワイアラ)に求められる損害の補償の義務が免責されます。

2017/7/19(水) 、弊社代表の堀川がロックオン社主催のクレジットカード情報の非保持化対応セミナーで登壇致しました。
クレジットカード情報の非保持化対応 全国無料セミナー&相談会 に、弊社代表の堀川が相談先として参加して参りました
https://www.thank-u.net/blog/eccube/card_security_seminar/

タイトルとURLをコピーしました