クレジットカード決済システムを導入しているEC事業者様は、2018年6月1日より改正割賦販売法が施行され、「PCI DSS準拠」もしくは「カード情報の非保持化」が求められます。
「カード情報の非保持化」とはどのようなもので、何をすることで実現できるのでしょうか。
今回は「カード情報の非保持化」について分かりやすくご紹介します。
カード情報の非保持化とは
「カード情報の非保持化」とは、EC事業者様が保有する機器・ネットワークにおいて、「カード情報を保存・処理・通過しないこと」を言います。
カード情報を保持しているケースには、リピート購入のために会員情報とカード情報を紐付けて事業者様のサーバーに保存しているケースや、テレフォンオーダーでヒアリングしたカード情報や紙の申込書に記載されたカード情報を自社ネットワークに接続された機器へ入力するケース等がありますが、このようなケースにあてはまるEC事業者様は、至急対策が必要です。
2018年6月1日の改正割賦販売法までに、然るべきセキュリティ対策を講じない場合、法令に抵触することになります。最悪の場合、アクワイアラーであるカード会社から加盟店解除手続きが行われる可能性があります。
カード情報の非保持化が実現できる決済システム
カード情報の非保持化を実現する決済システムのひとつとして「非通過型決済」があります。非通過型決済とはEC事業者様が保有する機器・ネットワークをクレジットカード情報が「通過」しない方式の決済システムのことです。この非通過型決済には、さらに次のような種類があります。
リンク型画面決済
利用者がネットショップでカード決済を入力する際、カード情報入力画面をネットショップのサーバー上ではなく、決済代行業者のドメインであるWebサイトに遷移して決済処理を行う方式です。比較的低コストで利用できるのがメリットで、リダイレクト型とも呼ばれます。
トークン決済
利用者が入力するカード情報を別の文字列(トークン)に置き換えて決済を行う方式です。外部サイトへ遷移することなく決済フローが完結するので利用者はシームレスに決済ができ、カゴ落ちのリスクが低減できます。
カード情報の非保持化の注意点
決済代行業者が提供する決済システムには、上記の「非通過型」と、「通過型」の2種類に大別できます。カード決済を導入しているネットショップは、現在どちらの仕組みを導入しているかは利用している決済代行業者に確認してみましょう。通過型の場合はカード情報を保持することとなり、カード情報を窃取されるリスクがあります。対応策として、非通過型への変更を実施する事が最良と言えますが、業務上カード情報を保持する必要がある場合は、PCI DSS準拠が必要となります。
PCI DSSとは、カード情報を安全に取り扱うことを目的として策定されたカード業界のセキュリティ基準です。12の要件に基づき、最大で約400の要求事項をクリアするという高いハードルが求められます。現実的な選択としてPCI DSS準拠よりも「カード情報の非保持化」を選択するEC事業者様が多いでしょう。
まとめ
決済代行会社では、ネットショップにおけるカード情報の非保持化サービスを提供しています。ソニーペイメントサービスでも、非通過型決済システムやカード情報お預かりサービスなど、カード情報の非保持化が実現できるサービスをご用意しております。まず何を行うべきかお悩みの事業者様はぜひご相談ください。