ECサイトにおいて2018年までに必要なセキュリティ対策 | PCIDSSとは?

  • このエントリーをはてなブックマークに追加
credit_shield_blog2

今やクレジットカードを利用して買い物ができることは当たり前となっており、事業者側にとっても消費者の利便性や購入機会の拡大を考えると、無くてはならない存在になっています。その反面、EC業界ではなりすましによるクレジットカード不正利用事件や、情報漏えい事件を多く目にするようになりました。

このような背景のもと、平成28年4⽉に経済産業省より、「クレジットカード取引におけるセキュリティ対策の強化に向けて」という実行計画が発表されました。

この「実行計画」には3つの要素があります。EC事業者に向けた必須対応策も含まれており、2018年3月までに下記いずれかの対応が必要となります。

①クレジットカード番号を非通過にする
②PCIDSSに準拠する

本日はebisumart(インターファクトリー)でマーケティングを担当している筆者が、2018年3月までにEC事業者が取り組まなくてはならないセキュリティ対策について解説いたします。

クレジットカード取引の被害状況

一般社団法人日本クレジット協会が平成28年9月に、平成28年第2四半期(4月~6月分)の集計値を発表しており、以下のような結果となりました。
※()内は前期比

・不正使用被害額:35.7億円(3.5%減少)
・不正使用被害額に占める偽造被害額:7.3億円(18.9%の減少)
・番号盗用被害額:22.9億円(1.3%増加)
・その他不正使用被害額:5.5億円(1.9%増加)

■クレジットカード不正使用被害の集計結果について (一般社団法人日本クレジット協会)
http://www.j-credit.or.jp/download/news20160930.pdf

被害の発生状況を見る限り、前年の数値を上回っており、このままのペースだと前年を超える被害額が出ることが予測されます。

リアル店舗、EC店舗両面でクレジットカード取引が増える中で、取引に関わる事業者におかれましては、消費者の安心・安全を確保する為に、強固なセキュリティ対応が求められています。

このような背景があることや、2020年に東京オリンピックを控えている中で、経済産業省よりクレジットカードのセキュリティに関する実行計画が発表されました。

経済産業省から発表されたセキュリティ対応策とは

では、クレジットカードに関するセキュリティ対応実行計画とは一体何でしょうか?クレジットカード決済を取り扱う事業者様は必ず目を通しておくことをオススメします。

①ECにおける不正使⽤対策

”ネットでなりすましをさせない”
・多⾯的・重層的な不正使⽤対策の導⼊

2018年までに、EC加盟店において多面的・重層的な不正使用対策の導入をし、ECにおけるなりすまし等の不正使用被害を最小化すること目指しています。

②偽造カードによる不正使⽤対策

”偽造クレジットカードを第三者に使わせない”
・クレジットカードの「100%IC化」の実現
・決済端末の「100%IC対応」の実現

主にリアル店舗に向けられたもので、2020年までにクレジットカード及び加盟店の決済端末を「IC化」するというものです。

これまで良く目にしていた「磁気ストライプ決済」といわれる決済方法だと、スキミングの恐れがありますが、IC対応されるとカード情報の処理が暗号化されます。それにより、偽造カードの使⽤防⽌が期待できます。

③カード情報の漏えい対策

”クレジットカード情報を第三者に盗ませない”
・加盟店におけるカード情報の「⾮保持化」
・カード情報を保持する事業者のPCIDSS準拠

EC事業者が特に注意しなければいけない点がこの3点目の内容で、2018年3月までに、以下いずれかの対応が必要となります。ここからは、以下2点について詳しく解説いたします。

・ECでのクレジットカード決済において、クレジットカード番号を非通過型にする
・PCIDSSに準拠する

 

クレジットカード番号を非通過にするということは?

クレジットカード決済は、カード情報がEC事業者側のサーバを通過する「通過型」と、通過しない「非通過型」があります。クレジットカード決済の「通過型」と「非通過型」の大きな違いは、「クレジットカード情報」がEC事業者側に渡るか渡らないか、の違いです。

このうち、「通過型」といわれるものは、カード情報がEC事業者のサーバに保存されることがあるため、不正アクセスなどによる情報漏えいが発生する可能性があるのです。

 

image

クジレットカード決済の「非通過型」と「通過型」の違い

 

ここまで、「通過型」と「非通過型」について、解説しましたが、クレジットカード決済には様々な手法(方式)があり、クレジットカード決済代行会社によって提供している方式が異なります。

では、どのような方式があるのでしょうか?現在、大きく分けて以下3つの方式があります。

①リンク方式(非通過型)
クレジットカード決済時のみ外部サイト(決済代行事業者側のページ)へ遷移し決済処理を行う方式です。(EC事業者はカード情報を保持しません。)

リンク方式は、決済代行事業者の画面を使用するため、比較的低コストで利用することが可能ですが、この方式ですとカート離脱の心配があります。

②トークン方式(非通過型)
カード情報を文字列(トークン)に置き換え決済代行事業者へ通信を行い決済処理を行う方式です。(EC事業者はカード情報を保持しません。)

決済画面内に情報入力フォームを埋め込むことで、自社サイトドメイン内で決済フローを完結させることが可能になります。万が一、トークンが情報漏えいしたとしてもトークン自体に意味を持っていないため不正利用されるリスクはありません。

先述した「リンク方式」と同じ「非通過型」ですが、外部サイトに遷移せず自社サイトドメイン内でページ遷移できるためデザイン面でも高いカスタマイズ性を保つことがメリットとして挙げられますが、この方式を提供している決済代行事業者は数社しかないのが現状です。

③モジュール方式(通過型)
決済モジュールを自社サイトに組み込み、入力された情報やデータを決済代行事業者へ連携する決済処理方式です。

外部サイトへは遷移せず、支払い完了まで自社サイトドメイン内で完結できるので、リンク方式に比べると、比較的離脱率が低いのが特徴です。

独自の売上処理があるため決済画面をカスタマイズする必要がある事業者や、サイトのデザイン面で妥協をしたくないという事業者がこの方式を選択することが多いかと思います。

 

決済方式毎の画面遷移や処理の違い

 

現時点で「リンク方式」または「トークン方式」を使用しているEC事業者に関しては、今回通達された条件はクリアしていますので、特に対応する必要はありません。

3つの方式のうち、「モジュール方式」のみ、カード情報がEC事業者側に渡るため、経済産業省から通達の出ている「カード情報の非保持化」が実現できていないことになるため、「リンク方式」または「トークン方式」に変更する必要があります。都合上、どちらもNGの場合、残された選択肢は「PCIDSS」に準拠するということになります。

では、「PCIDSS」とはどういったものでしょうか。また、準拠するためにはどのくらいのコストと時間がかかるものなのか、次で解説いたします。

 

PCIDSSに準拠するとは?

PCIDSSとは、国際カードブランド5社(American Express、Discover、JCB、MasterCard、VISA)が共同で策定した、クレジットカード業界における国際セキュリティ基準です。

国内では、決済代行会社や限られた企業が取得をしています。海外でも、この規格の準拠が進んでいる州もあります。

PCIDSSは、安全なネットワークの構築やカード会員データの保護など、12の要件に基づいて約400の要求事項から構成されており、全てクリアしなければなりません。セキュリティ系の規格として、プライバシーマークやISMSという規格もありますが、PCIDSSはクレジットカード情報の保護に特化しており、求められるレベルも高いことが特徴です。

また、PCIDSSに準拠するための費用は、規模感にもよるので一概には言えませんが、
初期費用:最低1,000万円以上
月額費用:最低100万円以上
程度の費用が発生します。

このように、EC事業者自身でPCIDSSを取得するには莫大なコストと時間がかかるため、あまり現実的ではありません。準拠する方針であれば、早めに取り掛かる必要がありそうです。

 

そこで、「決済時に外部サイトへリンクさせたくない、決済画面にカスタマイズを入れたい。でも、PCIDSSを取得するのは大変そうだ…」と考える事業者様もいるのではないでしょうか。

そこで、クラウドECプラットフォームを提供する「ebisumart」は「PCIDSSに準拠した決済サービス」を2017年上期から提供することを国内で初めて発表しました。※サービス詳細は未発表

「ebisumart」はクラウド型のため、「ebisumart」がPCIDSSに準拠した決済サービスを提供することで、その決済サービスを利用すれば経済産業省からの 要請をクリアできます。個別カスタマイズを実現しながらも高水準のセキュリティレベルを維持することが可能になるのです。

 

まとめ

今回の記事をまとめると以下のようになります。

  • 経済産業省から、EC事業者は2018年3月まに、クレジットカード情報を「非通過型」もしくは「PCIDSS準拠」をしなければならないという通達が出ている。
  • 現時点でクレジットカード決済の方式が「モジュール方式」のEC事業者が対象である。
  • クレジットカード決済方式を「リンク方式」もしくは「トークン方式」に変更するか、「PCIDSS準拠」をする必要がある。
  • 「PCIDSS準拠」をするためにはコストと時間がかかる。
  • クラウドECプラットフォーム「ebisumart」はPCIDSSに準拠した決済サービスを提供予定である。

 

 

おわりに

銀行振り込みや後払い決済などと比べて、カード情報の入力のみで決済が完了できるクレジットカードは購入者にとっては大きなメリットである一方、なりすましや不正利用の犯罪が絶えない今、万全のセキュリティ体制を築くことが必要不可欠です。

インバウンド需要が高まる中、2020年には東京オリンピックを控え、今後もクレジットカード決済利用者は増加することが予想されます。

2018年3月まで2年を切った今、計画的な準備が必要といえるでしょう。

  • このエントリーをはてなブックマークに追加

ECサイト構築方法の解説集の無料ダウンロード

seminar_top_ecsite_build

【全方式】ECサイト構築方法の解説集の無料ダウンロード

SNSでもご購読できます。

コメントを残す

*