ネットショップ運営者は知っておくべきカード情報非保持化の仕組み

ネットショップ運営者は知っておくべきカード情報非保持化の仕組み

クレジット取引セキュリティ対策協議会は「クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画2018」の中で、ネットショップ運営業者などの事業者に対し、クレジットカード情報漏えい防止のため、カード情報の「非保持化」(または「PCI DSS準拠」)を、2018年3月末までに実施することを求められています。

カード情報の非保持化とは何か、ネットショップ運営者が知っておくべきその概要と仕組みについてご説明します。

カード情報非保持化とは

カード情報非保持化とは、ネットショップでカード情報に触れない(処理・保存・通過させない)ことを言いますが、ネットショップ運営者が保有する機器・ネットワーク内にカード情報を「保存」「処理」「通過」させない仕組みを作れば、盗もうとする対象が存在しないため、カード情報の漏えいを防ぐことができます。

クレジットカード決済代行会社は、「保存」「処理」「通過」させない仕組みを作るために、「カード情報非通過型決済サービス」を提供しており、このカード情報非保持化を実現させています。

カード情報の非保持化のための接続方式の例

カード情報非通過型決済サービスには、主に下記の2種類があります(決済代行会社によってはこれ以外の方式を採用していることもあります)。

決済画面がサイトの外に用意されるタイプ

決済画面(クレジットカード情報入力画面)を、決済代行会社が独自に提供するタイプの接続方式で、「リンク型」や「リダイレクト型」と呼ばれています。カード決済のために使用されるWebページは、加盟店(ネットショップ事業者)のサイト外に用意されます。購入者(ネットショップ利用者)は、購入商品を決めたらネットショップの購入画面で住所・氏名などの情報を入力し、その後決済代行会社のサーバ上にある決済専用ページにアクセスしてカード情報を入力します。また、決済専用ページのURLをネットショップから購入者にメールで知らせる方法もあります。

あらかじめ決済専用ページが用意されているため当該ページを加盟店側で作成不要というメリットがありますが、ネットショップの購入画面と決済専用ページのデザインが異なることや別のURLに移動することに、場合によっては利用者が違和感や不安感を抱くといった可能性があります。

決済画面が自社のサイトの中に用意されるタイプ

トークン決済と呼ばれるこの接続方式では、購入者が入力するクレジットカード番号などの情報は別の文字列(トークン)に置き換えられるため、カード情報自体が加盟店のサーバを通過・処理することはありません。トークン決済は前出の「クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画2018」で推奨されている決済手段の一つです。

また、トークン決済にはポップアップ型やカスタマイズ型などの異なるユーザーインターフェイスが用意されています。ポップアップ型は決済画面が加盟店のページ上にポップアップ表示されるものです。カスタマイズ型では、決済画面は加盟店のページ内にシームレスに表示されます。

ちなみに、決済画面が外部に用意されるタイプよりも、自社サイト内に用意するタイプのほうが購入者の購入フローに違和感がないため、「カゴ落ち」と言われるカートに入れた商品を買わずに離脱するリスクが低いと言われています。ネットショップ側は利用者の購入率を上げるべく、いかに「カゴ落ち」を防ぐかが重要な課題となっています。利用者の離脱を防ぐ為に、決済画面を自社サイト内に用意することについて、十分に検討を行う必要があります。

ソニーペイメントサービスでは、決済画面を外部に用意するリンク型画面決済、加盟店様サイト内に用意するトークン決済、いずれの接続方式もご利用いただけます。ぜひ本サイトで、ソニーペイメントサービスが提供するクレジットカード情報非保持化サービスについて詳しくご覧ください。

ソニーペイメントサービスのカード情報保持機能