セキュリティ対策は怠るべからず!クレジットカード決済のリスク

セキュリティ対策は怠るべからず!クレジットカード決済のリスク

クレジットカード決済を利用する際は、購入者もネットショップ運営側もセキュリティに関するリスクを負うと言われます。

そのリスクとはどのようなものなのでしょうか。

またリスク回避のための適切な対策がなされていることを示す、セキュリティ基準についてもご説明します。

消費者がこうむるクレジットカード決済のリスク

ネットショップでの商品購入者の中にはクレジットカード決済を利用することに不安を感じている人が一定数、存在します。総務省が公開している「平成28年 通信利用動向調査の結果」によると、「インターネット利用の際の不安の内容」という調査で、「個人情報が外部に漏れていないか」が平成27年末で87.8%(複数回答)、「電子決済の信頼性」を挙げた人は46.5%(複数回答)いました。

具体的に、購入者がリスクとして最も懸念しているのは、クレジットカード番号、名義人名などのカード情報が盗まれる、あるいは漏えい・流出することです。また、そのことに伴って生じるクレジットカードを不正使用されるリスクも不安の対象となっています。

ネットショップ運営側が負うクレジットカード決済のリスク

一方、ネットショップ運営側が負うリスクも存在します。仮に流出したカード情報によってクレジットカードが不正使用され、自身のネットショップの商品が購入されたとしましょう。商品を発送したもののカード会員には届かず(不正使用者に届いている)、クレジットカード会員が購入した覚えもない場合には、会員は利用代金の支払いに同意しないという処置を取ることができます。

通常このような場合は、クレジットカード会社は代金の売上を取り消す「チャージバック」を適用します。こうなると、クレジットカード会員は損失がありませんが、ネットショップ運営側は商品を送ったものの代金が回収できず、一方的に損失をこうむってしまいます。

このような事態を防ぐためには、不正使用対策サービスの「3Dセキュア※1」や「認証アシストサービス※2」などの本人認証サービスの導入をおすすめします。

※1クレジットカード決済時に、発行カード会社へ事前に登録したパスワードを入力することで本人であることを認証するサービス。
※2クレジットカード決済時に、カード発行時に登録した購入者属性を入力することで本人であることを認証するサービス。

ほかにも、カード裏面に記載されている入力券面認証(セキュリティコード)の入力確認を行ったり、デバイス情報や過去の取引情報、頻度などを調査する属性・行動分析などを行うことも有効です。

関連記事はこちら
ネットショップ運営者がチャージバックのリスクを回避するためにできること

また、クレジットカード決済時に自社のサーバでカード情報を保持(保存・処理・通過)するシステムを利用している場合には、不正アクセスによってカード情報を盗まれるリスクも抱えることになります。カード情報の漏えい・流出を起こしたとなればネットショップ利用者のみならず、世間一般からの信頼も失われて大きなダメージを受けます。これらのリスクに対しては確実かつ堅牢な対策を取る必要があります。

情報漏えいを防ぐために知っておきたい主なセキュリティ基準

クレジットカード決済に伴う情報漏えいリスクに対して有効なセキュリティ対策を行っているネットショップ事業者を認定するものとして、次のようなセキュリティ基準が存在します。消費者はこれらのセキュリティ基準を目安にして安全なネットショップを選択することができます。またネットショップ運営側には、これらの基準を満たすセキュリティ体制を構築することが求められます。

プライバシーマーク

個人情報の取り扱いに関して、日本工業規格「JIS Q 15001個人情報保護マネジメントシステム―要求事項」に適合し、適切な保護措置を行っていると認定された事業者に対して発行されるマークです。 プライバシーマークを取得している事業者はカード情報を含む様々な個人情報に対し、要件を満たす漏えい防止策を講じていることになります。

PCI DSS

カード会員情報の保護を目的に、国際5大カードブランド(VISA、MasterCard、JCB、American Express、Discover)が共同で策定した国際基準です。認定取得には訪問審査、サイトスキャン、自己問診の3つの方法が用意されており、カード情報の取扱い規模や事業形態、決済システムの接続方式によって、複数を実施する必要があります。

ISMS

ISMS(情報セキュリティマネジメントシステム)は、情報資産のセキュリティを管理するためのシステム(仕組み)を策定して、実施することを表す用語です。日本ではISMSの標準として、「ISO 27001」とそれと同等な「JIS Q 27001」というマネジメントシステム規格が用いられます。ISMSの認証を取得することで、技術的セキュリティ対策、人的情報セキュリティ管理運用体制を維持していることを証明できます。

まとめ

ソニーペイメントサービスでは、上記プライバシーマーク、PCI DSS、ISMSのセキュリティ基準を取得し、最善のセキュリティ対策を行っております。クレジットカード不正使用を防止するための独自認証システムを提供するなど、高度なセキュリティ技術を駆使して安全への取り組みを推進しています。クレジットカード決済導入を検討されている、またはセキュリティに関するお悩みやご質問がある際は、ぜひソニーペイメントサービスへご相談ください。