1. ホーム
  2. ネットショップや決済に関する用語集
  3. カード情報非保持化

カード情報非保持化

カード情報非保持化とは

カード情報非保持化とは、クレジット取引に関わる幅広い事業者及び経済産業省が参画したクレジット取引セキュリティ対策協議会により、2016年2月に公表された「クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画(実行計画)」において、EC事業者が求められているセキュリティ対策の一つです。

実行計画では、EC事業者に対し「①カード情報の漏えい対策」「②ECにおける不正使用対策」を求めています。このうち①カード情報の漏えい対策の具体的な内容が、カード情報非保持化またはカード情報保護の国際基準であるPCI DSS準拠となります。

カード情報非保持化の定義については、2017年3月に改定された「実行計画2017」の中でより明確になり、具体的には「EC事業者が自社で保有する機器・ネットワークにおいてカード情報を『保存』『処理』『通過』しないこと」とされました。

カード情報保持とみなされる状況とは

カード情報を保持している例としては、リピート購入等のために会員IDとカード情報を紐付けて自社の機器に保存等を行っている場合が「保存」となり、カード情報が通過するモジュール型等の決済システムを利用している場合に「処理・通過」となります。

「実行計画2017」においては、紙や紙媒体をスキャンした画像データ、電話での通話については非保持とされており、それらのデータについて事業者とPCI DSS準拠の決済代行会社との間で暗号化されたセキュアな環境でのやり取りであれば非保持とされています。しかし、紙媒体のままの保存ではなく、自社ネットワークに接続された管理システム等へ登録した場合には保持とされます。

一方、PCI DSSでは、すべての媒体においてセキュリティ保護の対象とするため、紙媒体や音声録音データであってもカード情報を保持しているとみなされます。PCI DSS準拠においても基本的にはカード情報非保持化を謳っているため、実行計画において保持とみなされない紙媒体等も電子データと同様に非保持化した方がより安心です。

カード情報非保持化の対策

2018年6月施行の改正割賦販売法においては、ECにおける不正使用対策とともにカード情報漏えい対策は義務化されています。

PCI DSS準拠は相応の工数を費やす必要があるため、多くの事業者はカード情報非保持化を進めています。決済代行会社が提供する「トークン決済」等の非通過型決済サービスや「IVRサービス」「専用端末・ネットワークサービス」等、自社の運営に合ったカード情報非保持化対策を導入する必要があります。

クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画

「実行計画2017」主な改定のポイントと対策