「クレジットカード情報の非保持化」とは、インターネット通販会社(EC事業者)に向けた安全なカード決済に関する取り組みのことです。
「なんだ業者向けの話か」と思われるかもしれませんが、新聞やニュースで「クレジットカード会員データの漏えい事件」が増え続けている現在、無関心ではいられません。
ハッカーによるデータの抜き取り、会社内部の者による個人情報の持ち出しなど悪質な事件から、不注意によるデータ資料の紛失など。わたしたちを不安にさせるニュースは後を絶ちません。
このことから情報を保持しないことが安全に繋がるのだという認識が広がっています。
これからEC事業者、クレジット決済するすべてのお店がクレジットカードを通して得られる個人情報をどう扱っていくのかはたいへん重要な問題です。それではクレジットカード情報の非保持化とはどのような取り組みなのかを見ていきましょう。
クレジットカード情報の非保持化を解説
PCI DSSというクレジット業界国際セキュリティ基準
PCI DSS(Payment Card Industry Data Security Standard)はJCB・American Express・Discover・マスターカード・VISAの国際ペイメントブランド5社が共同で策定した、クレジット業界におけるグローバルセキュリティ基準です。
これに完全に準拠した決済代行事業者に、処理を委託することで、加盟店が顧客のカード情報を保持することのない安全なクレジットカード決済を目指すというものです。
クレジット取引セキュリティ対策協議会実行計画-2017-では2018年3月末日までにこの対応を完了しようということなので加盟店にとってはかなり大掛かりな動きです。
自社でカード決済処理をしない
決済代行会社のシステムを利用して決済処理をするということです。
これまでは2つの決済方法が併存していました。
【リンク型】カード保有者本人がカード番号を入力するときに、リダイレクトによって決済代行会社の画面にURLが切り替わります。
新しく決済代行会社に依頼した場合、この入力フォームが以前のものと様変わりするため、ビックリしたり、不信に思って離脱してしまうかもしれません。
【モジュール型】クレジトカードの番号を加盟店側で一旦受け付けして、その決済データを決済代行会社に送信するというもの。カード情報は送信後に破棄(削除)される。
この決済方法であってもトークンシステムを導入すれば、入力されたカード番号をトークンという乱英数字の文字列に置き換えて決済を安全に行うことができます。
カード番号が暗号化されているのでカギが掛けられて送信されるというイメージです。
JCCA 日本クレジットカード協会は加盟店にリンク型決済を勧めています。
自社内にカード情報を通過させない
カード番号などの情報は直接決済代行会社に送信され、加盟店のサーバーを通過しないということです。リンク型がより安全です。
モジュール型は、加盟店側のWebサーバやアプリケーションサーバをカード会員データが通過しますが、番号をランダムに割り振られた英数字に変換するトークンシステムを導入すれば基準に準拠していることになります。
自社にカード情報を保存しない
一度ショッピングした時に会員登録していれば2回目以降はもうカード番号の入力しなくてもショッピングし続けることができますよね。クレジットカード情報が保存されているからできることですが、これを加盟店では止めましょうということで、決済代行会社のサーバーに保存されることになります。
決済代行事業者
PCI DSSに完全準拠している決済代行事業者には
三菱UFJニコス×DeNAグループの決済代行ペイジェント
ソクトバンク・ペイメント・サービス
GMOペイメントゲートウェイ
Cloud Paymentなどがあります。
いずれの会社も安全なクレジットカード決済である、リンク型決済とトークン決済を用意しています。
決済代行事業者に委託していればいいのではなく
決済代行事業者に委託していればPCI DSSは完璧なのかといえば決してそうではないでしょう。
加盟店は常にセキュリティ管理に取り組み続けなければならない時代に来ています。
PCI SSCからは、インターネット加盟店が非保持サービスを利用している場合向けの特別な自己問診プログラムが用意されているそうです。
まとめるとクレジットカード情報保持のリスクは決済代行会社が担うということです。
そしてセキュリティ技術向上は。業界必須の使命です。
完璧に安全なクレジットカード決済はないのかもしれませんが、こういう取り組みによって漏洩事件が減っていくことを願います。