「カード情報の非保持化」と「PCI DSS準拠」どちらがいいのか

「カード情報の非保持化」と「PCI DSS準拠」どちらがいいのか

ネットショップなどのクレジットカード加盟店は2018年6月1日に施行される改正割賦販売法により「カード情報の非保持化」または「PCI DSS準拠」が義務付けられています。

では、この2つのうちどちらを選ぶべきなのでしょうか。今回は、カード情報の非保持化とPCI DSS準拠についてご紹介します。

カード情報の非保持化かPCI DSS準拠を選ばなければならない背景

2018年6月1日に割賦販売法の一部を改正する法律(「改正割賦販売法」)が施行されます。その具体的な措置が、クレジット取引セキュリティ対策協議会(日本クレジット協会を中心としたカード会社、決済代行業者、加盟店、行政など37団体で構成)により、2018年3月1日、「実行計画」(「クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画2018」)として公表されました。

この「実行計画2018」の中でEC事業者が求められるセキュリティ対策が「カード情報の漏えい対策」と「不正使用対策」です。そして、「カード情報の漏えい対策」の一つとして示されているのが、「カード情報の非保持化」または「PCI DSS準拠」です。改正割賦販売法では、本実行計画におけるセキュリティ対策が義務化され、法令施行の2018年6月1日までにセキュリティ対策を講じていないEC事業者は法令違反の状態となるのです。

PCI DSS準拠とは?

PCI DSSとは、カード情報を安全に取り扱うことを目的として策定されたカード業界のセキュリティ基準です。PCI DSSは国際カードブランド5社(VISA、MasterCard、JCB、American Express、Discover)が共同で設立したPCI SSCによって運用・管理されています。

「PCI DSS準拠」と認められるには、12の要件に基づき、最大約400の要求事項をクリアする必要があります。一般的に、PCI DSSの初回認証を取得するには多大なコストがかかり、短くても半年、中には数年以上の期間を要することもあります。

カード情報の非保持化とPCI DSS準拠はどちらを選ぶ?

業務上、カード情報を保持することがどうしても必要である場合はPCI DSS準拠が必要となりますが、業務スキームの見直しなどでカード情報を保持せずに運用できないか、決済フローを再確認しましょう。システム面、業務面双方から、カード情報を保持しないで運用ができるのであれば、PCI DSS準拠ではなくカード情報の非保持化を進めるべきです。

カード情報をEC事業者様で保持するとなった場合、PCI DSS準拠のための全要求事項をクリアするのは非常に大変です。その場合でも、決済システム上はカード情報を持たない非通過型決済を導入することで、準拠に必要な項目数を減らすことが可能です。カード情報を取り扱う範囲を狭めることで準拠項目を削減するという方法もあります。

カード情報の非保持化に欠かせない情報収集

自社のサイトの現状を把握するには、情報収集が欠かせません。決済代行会社によっては、セキュリティ対策をEC事業者の自主性に任せ、アドバイスをしない会社も存在します。信頼できる決済代行会社に相談したり、ペイメントナビなどの情報サイトなどで最新情報を収集し理解を深めることが重要です。カード情報の非保持化に関するセミナーに参加することも有益です。

非保持化するための効率化

ソニーペイメントサービスでは、カード情報の非保持化対策として「カード情報お預かりサービス」や「非通過型決済」などに加えて、紙の申込書の受領からパンチングまで業務を受託する「業務受託サービス」など様々なカード情報セキュリティ対策をご提供しています。EC事業者様のネットショップの決済システムや業務運用全体を確認し、カード情報非保持化もしくはPCI DSS準拠のための最適な方法をご提案します。システムだけではなく、うっかり見落としがちな業務におけるカード情報の非保持化対応するには、こうした決済代行会社への業務委託を利用する方法があります。

改正割賦販売法への対策がお済みでないEC事業者は、至急対策を講じる必要があります。自社の運営に合った最適な対策を探るために、コンサルタントや決済代行会社に相談してみてはいかがでしょうか。

カード情報のセキュリティに関するお問い合わせはこちら
カード取引におけるセキュリティ対策に関するご相談・お問い合わせ