「カード情報の非保持化」と「PCI DSS準拠」どちらがいいのか
公開日:2022年12月16日
更新日:2022年12月16日

ネットショップ等のクレジットカード加盟店は2018年6月1日に施行される改正割賦販売法により「カード情報の非保持化」または「PCI DSS準拠」が義務付けられています。
では、この2つのうちどちらを選ぶべきなのでしょうか。今回は、カード情報の非保持化とPCI DSS準拠についてご紹介します。
カード情報の非保持化かPCI DSS準拠を選ばなければならない背景
2018年6月1日に割賦販売法の一部を改正する法律(「改正割賦販売法」)が施行されました。その具体的な措置が、クレジット取引セキュリティ対策協議会(日本クレジット協会を中心としたカード会社、決済代行業者、加盟店、行政等37団体で構成)により、2018年3月1日、「実行計画」(「クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画2018」)として公表されました。
この「実行計画2018」の中でEC事業者が求められるセキュリティ対策が「カード情報の漏えい対策」と「不正使用対策」です。そして、「カード情報の漏えい対策」の一つとして示されているのが、「カード情報の非保持化」または「PCI DSS準拠」です。改正割賦販売法では、本実行計画におけるセキュリティ対策が義務化され、法令施行の2018年6月1日からセキュリティ対策を講じていないEC事業者は法令違反の状態となっているのです。
PCI DSS準拠とは?
業務上、カード情報を保持することがどうしても必要である場合はPCI DSS準拠が必要となりますが、業務スキームの見直し等でカード情報を保持せずに運用できないか、決済フローを再確認しましょう。システム面、業務面双方から、カード情報を保持しないで運用ができるのであれば、PCI DSS準拠ではなくカード情報の非保持化を進めるべきです。
このカード情報をEC事業者様で保持するとなった場合、PCI DSS準拠のための全要求事項をクリアするのは非常に大変です。その場合でも、決済システム上はカード情報を持たない非通過型決済を導入することで、準拠に必要な項目数を減らすことが可能です。カード情報を取り扱う範囲を狭めることで準拠項目を削減するという方法もあります。
カード情報の非保持化に欠かせない情報収集?
自社のサイトの現状を把握するには、情報収集が欠かせません。決済代行会社によっては、セキュリティ対策をEC事業者の自主性に任せ、アドバイスをしない会社も存在します。信頼できる決済代行会社に相談したり、ペイメントナビ等の情報サイトで最新情報を収集し理解を深めることが重要です。カード情報の非保持化に関するセミナーに参加することも有益です。
非保持化するための効率化
ソニーペイメントサービスでは、カード情報の非保持化対策として「カード情報お預かりサービス」や「非通過型決済」等に加えて、紙の申込書の受領からパンチングまで業務を受託する「業務受託サービス」等、様々なカード情報セキュリティ対策をご提供しております。EC事業者様のネットショップの決済システムや業務運用全体を確認し、カード情報非保持化もしくはPCI DSS準拠のための最適な方法をご提案します。システムだけではなく、うっかり見落としがちな業務におけるカード情報の非保持化対応するには、こうした決済代行会社への業務委託を利用する方法があります。
改正割賦販売法への対策がお済みでないEC事業者は、至急対策を講じる必要があります。自社の運営に合った最適な対策を探るために、コンサルタントや決済代行会社に相談してみてはいかがでしょうか。
カード取引における非保持化対策のお悩みを、まるっと解決!