[ご存知ですか?] 2018年3月までに「カード情報の非保持化」または「PCI DSS準拠」が必要です

[7,404 views]

20160112_img1
2020年オリンピック・パラリンピック東京大会の開催に先立ち、多くの外国人観光客が日本に集うことが予測されます。外国人観光客増員による経済効果は2020年には、現在(2017年)の約2倍 にのぼるという調査結果も発表されており、日本のEC市場においても大きなチャンスといえます。今後、クレジットカード利用率の高い外国人をもターゲットとして視野においたEC市場では、クレジット取引のセキュリティ環境を引き上げていく必要性が高まっています。

日本のクレジット取引におけるセキュリティ環境を国際基準に引き上げるべく発足した団体があります。カード会社をはじめクレジット取引に関係する幅広い事業者からなる「クレジット取引セキュリティ対策協議会」です。クレジット取引のセキュリティ環境整備における具体的な目標と、カード取引に関わる各主体が取り組むべき3つの事項を「カード情報の保護」、「カード偽造防止対策」、「不正利用対策」とし、「実行計画」を策定しました。そのなかで、クレジット取引セキュリティ対策協議会はEC事業者に対し、カード情報の保護を目的として、2018年3月までに「カード情報の非保持化」または「PCI DSS準拠」 を実施することを求めています。

具体的にどんな対策がいるの?

「カード情報の非保持化」または「PCI DSS準拠」を実施するためにEC事業者はどういった対策を取ればいいのでしょうか?下記に、代表的な 2つの方法をご紹介します。

(1)「カード情報の非保持化」となるカード決済システムを利用する

代表的なカード決済システムには、「リンク型決済」「トークン決済」があります。

20160112_img3

一つ目の「リンク型決済」では、EC事業者様が自社ECサイト上にカード決済画面を作成せず、高いセキュリティ環境が整備されたカード決済サービスを利用します。ユーザーが決済する際に、自社ECサイトの決済画面に貼ったリンクから決済サービス事業者の決済画面に遷移し、手続きを完了することから「リンク型決済」と呼んでいます。EC事業者様がユーザーのカード情報を自社で保持することがないため、カード情報の非保持化が実現できるのです。

二つ目の「トークン決済」とは、ユーザーのカード情報をJavaScript で暗号化した別の文字列(トークン)に置き換え、決済サービス事業者のサーバへ情報を送り、決済を完了する仕組みです。カード情報がEC事業者様のサーバを通過しないため、「リンク型決済」同様、自社でユーザーのカード情報を保有することなく情報漏洩のリスクを軽減することができます。

(2)「PCI DSS準拠」する

「PCI DSS準拠」とは、簡単にいうとPCI SSC(主要クレジットブランド5社からなる団体)が定めたデータセキュリティの高い国際基準をすべてクリアすることを意味します。この規格に準拠するためにはPCI DSSという文書で定められた膨大な要件を満たす必要があります。また、PCI DSSの内容は日々変化するサイバー攻撃やIT環境の進化に対応するために、定期的なアップデートが行われており、常にフォローアップしていく必要があります。PCI DSSを準拠することで企業が得る信用力は大きいのですが、そのためのコスト・時間、準拠後の運用継続を考えると、中小規模のEC事業者様には障壁が高いともいえます。

(参考)PCI DSS要件とセキュリティ評価手順の詳細はこちらをご覧ください。

「リンク型決済」または「トークン決済」サービスがおすすめ!

すでにPCI DSSに準拠している「リンク型決済」や「トークン決済」サービスを導入することで、システム開発費用、人件費、導入コスト、時間などのあらゆるコストを抑え、ユーザーに安心で安全なサービスを提供することが可能です。

なぜ「リンク型決済」や「トークン決済」サービスをおすすめするのかを具体的に解説していきます。
まず、「リンク型決済」の導入は非常に簡単で短期間で実施できることが挙げられます。EC事業者様は、自社ECサイトの決済画面にサービス提供先のリンクを貼るだけの手軽な作業で導入完了です。また、決済サービスは、PC・携帯・スマートフォンにも対応しており、ユーザーにとって使いやすい環境を提供することができます。カード決済だけでなくコンビニでの後払い、銀行振込払い、ATM払いなどユーザーが選べる決済サービスも含まれており、顧客サービス向上にもつながります。

20160112_img2

「トークン決済」では、ユーザーが決済する際に別サイト(決済サービス事業者のサイト)に遷移することなく自社ECサイトで決済を完了できるため、ブランディングに注力したいEC事業者様から人気を集めています。また、「トークン決済」では、ユーザーによりスムーズな決済環境を提供することができるため、カゴ落ち対策としても有効です。

日本人ユーザーにとっても、情報セキュリティの安全性はECサイトを選定の際の重要なポイントです。これらのサービス導入は、外国人観光客への対策だけではなく日本国内でのサービス向上にもつながるでしょう。2018年3月の「カード情報の非保持化」、「PCI DSS準拠」に向け、上記サービスの導入を検討されてはいかがでしょうか。
EC-CUBE公式決済である「EC-CUBEペイメント」は、いち早くトークン決済に対応していますので、詳細をご希望の方はこちらよりお問い合わせ下さい。

最後に

2017年2月9日に、「【特別企画】徳丸浩氏×GMO-PG×EC-CUBE『ECセキュリティ対策セミナー』」と題して、「トークン決済」を含めた、eコマースのセキュリティ対策の無料セミナーを実施します。

170119_cube

より強固なセキュリティ対策をご検討中の方、本記事にご興味をもたれた方は、ぜひ、この機会にご参加ください。
お申し込みはこちらです。


このEC記事につけられたタグ