近年、クレジットカードのセキュリティ対策が急速に進む中、EC事業者にはカード情報の非保持化やPCI DSS（Payment Card Industry Data Security Standard）への準拠が求められています。多くの事業者がセキュリティ強化に取り組む一方で、皆さまの対応状況はいかがでしょうか？

経済産業省は、クレジットカード情報の非保持化を推奨しており、ECサイト上でカード情報が保存・処理されない仕組みの導入を促進しています。これは、カード情報の漏えいリスクを軽減することが目的であり、特に2015年の国内被害額が120億円に達し、2012年から約1.8倍に増加したことが背景にあります。

現在のところ、罰則規定は設けられていませんが、今後の業界動向を注視し、適切な決済システムの導入を検討することが重要です。

本記事では、カード情報の非保持化やPCI DSS等のセキュリティ対策に取り組む際に注意すべき点について、相談事例を交えながら解説してまいります。

カード情報非保持化対策とは？罰則は？

クレジットカード情報の非保持化が実施されると、今後どういうことが起こりえるのでしょうか。現状、非保持化に対応しない形で運用をされていらっしゃる加盟店様では、PCI DSSの準拠が必須となります。

PCI DSSとはカード会員の個人情報保護のために策定された国際統一基準です。準拠のためには6項目12要件、約400項目を遵守し、QSAの審査をパスする必要があり、仮に99％の要件を満たしていても、1％の項目に不備があると完全準拠とみなされないという厳格な審査です。

もし、PCI DSSに未準拠のまま、カード情報の漏えい等の事件が発生した場合、加盟店は顧客からの信頼を失うことはもちろん、カードブランドから多額の賠償金を課せられる可能性もあり、大きなリスクを追うことになります。

こうした状況から、各社何らかの形でカード情報非保持化対策を講じるか、PCI DSSの準拠の二択を迫られることになるでしょう。そして多くの場合で、手続きと更新のハードルが高いPCI DSSへの準拠を回避することになります。

決済代行会社である弊社も毎年更新を行っておりますが、膨大な質問への回答・セキュリティ対策の強化など、一度取得した後も保持し続ける事は容易な事ではありません。弊社の加盟店様を見渡しても、決済事業者以外で、PCI DSSの準拠にそこまでのコストと時間を掛けられる企業は多くはないでしょう。

【トークン決済】非保持化対策で注意しておきたいこと

WEB上でのクレジットカード決済を行うEC事業者様等を中心に、カード情報の非保持化のための手段として良く最近耳にする決済方式に「トークン方式」というものがあります。

トークン方式とは、現状カード決済をAPI方式やゲートウェイ方式などの接続方式で導入している方、新規で導入を検討している方向けの手段です。

トークン決済とは、お客様（エンドユーザー）様が入力したクレジットカード情報を弊社サーバーに送信し、トークン（別の文字列）に変換した上で決済を実施する、クレジットカード情報非通過型の決済となります。 加盟店様はクレジットカード情報に触れることなく決済を実施することが可能となります（非保持型接続方式）。

トークン方式を採用すれば、加盟店側は個人情報を自前で保管することなくカード決済ができるようになるため、PCI DSS準拠のための手続きも不要になります。セキュリティ強化の流れを踏まえても、今後、決済方式のスタンダードとなっていくことが予想されています。

しかし、トークン方式には落とし穴があります。「とりあえずトークン方式にしておけば非保持化対策は完了！」なのではなく、運用方法によってはトークン方式でも運用がそもそも難しい場合や、非保持化にならない場合があるため注意が必要です。

ここからは、運用方法の改善についての事例をご紹介します。

■事例1：宿泊予約のカード決済～業務オペレーションの不備～

＜現在の運用方法＞
①担当者が電話口にて事前の予約と同時にクレジットカード番号をユーザーから直接聞き出す。
②担当者が決済代行会社のシステムにアップしてカードの与信枠を抑える。
③ユーザーの宿泊後、登録したクレジットカード情報を元に決済処理を行う。

上記の運用では、たとえトークン方式を導入したとしても、店舗側がカード情報を保持してしまうオペレーションであることはおわかりでしょうか？

電話で注文を受けた担当者が情報を漏洩したり、悪用する可能性があることが考えられます。これは、例えシステム上は対策がとれていたとしても、業務オペレーションの観点から非保持化に失敗しているケースです。

＜改善後の運用方法＞
①予約完了後、ユーザーのメールアドレス宛に予約サイトを案内。
②サイト上でユーザーが自らカード情報を入力。
③トークン方式で予約サイトから店舗のサーバーを介さずカード情報を決済代行会社に送信。
③ユーザーの宿泊後、決済代行会社に決済処理の指示を通知。

上記のように、自前のデータベースや担当者を介さず、宿泊者のカード情報を取り扱うことができるような業務オペレーションの構築を構築することが、非保持化対策の基本となります。

■事例2：ウォーターサーバーの月額利用料のカード決済

＜現在の運用方法＞
①ご契約時、ユーザーにウォーターサーバーご契約書へカード情報をご記入いただく。
②担当者が契約書の情報をCSVに転記、決済代行会社システムにアップロードを行い登録。
③次月以降、担当者が当月の課金金額を管理画面にアップし課金。

上記の運用のままトークン化を施したとしてもカード情報保持となってしまいます。そもそも機密情報であるはずのカード情報を紙に残していては、セキュリティの観点から本末転倒であることは明らかなので改善は急務であると言えるでしょう。

＜今後の運用方法＞
①ご契約後、カード登録用の会員マイページを案内する。
②ユーザーがマイページに入力した情報をトークン方式で自社を介さず、決済代行会社に送信
③マイページへのユーザー情報登録を待ってサービス提供開始。

このようにユーザーがマイページを通して自ら情報を入力する仕組みを構築してしまえば、セキュリティの観点だけでなく、業務効率化においても効果を発揮します。

上記2つの例だけでなく、業務フローの問題などが絡むと、自社だけでトークン方式のメリットを享受するのは一気に難しくなります。専門家の相談を仰ぎ、まずは決済セキュリティの観点からも理想的な業務フローの構築を進めることをお勧めします。

リアル決済でも非保持化に向けた取り組みが進む

カード情報非保持化に関して取り組みが加速しているのは、何も決済代行業界だけではありません。その他の業種でも大手有名企業を中心に新たな動きが起こっています。

例えばあの東急ハンズや高島屋、パルコでも現状の運用の確認や対策やリスクなどについて準備が進められているそうです。背景には米国の大手スーパーでは、カード情報等漏えいにより、多額の賠償に発展した事例などがあるようです。

例のように、インターネット上の決済だけではなく、対面決済で使うPOSシステムなどもカード情報のリスクに備え、カード情報非保持化のための抜本的なシステム改革が進んでいます。

安全だと思っていたシステムも情報の通過場所などを見直すと、外部からアタックを受けた場合抜き取られ悪用されるリスクが運用上みつかることは往々にしてあります。これからのキャッシュレス化の進行もあり、カード情報のセキュリティに関する対策は、今以上に重要に取り組むべき事案となっていることはまちがいありません。

その他の業界でも非保持化に向けてそれぞれシステム化や運用方法の見直しなど、様々な改善や対策が今後もされていくでしょう。

高セキュアな決済システムは「サブスクペイ」にお任せ！