オンライン決済

クレジットカード情報の非保持化とは?EC事業者が実施すべき対策

目次

クレジットカード情報の非保持化とは?

「クレジットカード情報の非保持化」とは、事業者さまが保有する機器・ネットワークにおいて、カード情報を保存・処理・通過しないことを指します。

このほど、クレジット取引セキュリティ対策協議会(※1)はクレジットカード取引におけるセキュリティ対策の強化に向けた「クレジットカード・セキュリティガイドライン」を公表しました。このクレジットカード・セキュリティガイドラインは事業者さまに対して、クレジットカード情報漏えい防止のためのカード情報の「非保持化」または「PCI DSS(※2)準拠」を、実施することを要請しています。
当社では「非保持化」および「PCIDSS(準拠)」に必要なセキュリティサービスを、事業者さまのニーズにあわせてご提案いたします。カード決済の仕組みをご検討中の事業者さまは、当社のクレジットカード決済導入もあわせてご検討ください。

3分マンガで理解しよう! 非保持化対策


クレジットカード決済については、以下の記事で詳しく説明しております。

  • (※1) クレジット取引セキュリティ対策協議会とは、日本クレジット協会(割賦販売法に基づく「認定割賦販売協会」および個人情報保護法に基づく「認定 個人情報保護団体」の認定を受けている団体)を中心としたカード会社、決済代行業者、行政など37団体により構成された協議会です。
  • (※2) PCI DSS(ピーシーアイ ディーエスエス)とは、「Payment Card Industry Data Security Standards」の略で、クレジットカード会員情報や購買情報を安全に保護することを目的に国際カードブランド5社(VISA/MasterCard/American Express/Discover/JCB)が共同で策定したクレジット業界におけるグローバルセキュリティ基準です。

クレジットカード・セキュリティガイドラインとは?

クレジットカード・セキュリティガイドラインは「クレジットカード情報保護対策」「クレジットカード偽造防止による不正利用対策」「EC取引におけるクレジットカード情報の不正利用対策」の「3本柱」により構成されており、EC事業者さまは、以下の2点の対策が必要です。
当社では、これらの対策となるセキュリティサービスをご提供いたします。

EC事業者さまが必要なクレジットカードの不正利用対策

クレジットカードの情報漏洩による不正利用被害を防ぐために、2018年6月に施行された改正割賦販売法では、クレジットカードを取り扱うEC事業者さまに対して「クレジットカード情報の非保持化」または「PCI DSS準拠」および「不正利用対策」の実施が義務付けられました。
それぞれ、具体的にどのような対策が必要なのかを見ていきましょう。

クレジットカード情報保護対策

クレジットカード情報保護対策には、クレジットカード情報の非保持化とPCI DSS準拠があります。これらの対策について解説します。

クレジットカード情報の非保持化

クレジットカード情報の非保持化とは、事業者さまが保有する機器・ネットワークにおいてカード情報を保存・処理・通過しないことを指します。
なお、紙やスキャンデータ、音声データなどでクレジットカード情報を保持している場合は、そのことで「保持している」とはみなされません。

PCI DSS準拠

PCI DSSとは、加盟店やサービスプロバイダーにおいて、クレジットカードの会員情報を安全に取り扱うことを目的に策定されたセキュリティ基準です。クレジットカード情報を取り扱う加盟店やサービスプロバイダーは、年間のクレジットカード取引量に応じてPCI DSSに準拠する必要があります。
PCI DSSに準拠することでセキュリティポリシーがより具体的に定義されるため、ECサイトを不正アクセスから保護し、ECサイトの改ざんや情報盗用などのリスクが低減します。また、PCI DSSの準拠により企業の信頼性が向上するでしょう。

EC取引におけるクレジットカード情報の不正利用対策

2018年6月施行の改正割賦販売法では、クレジットカードを取り扱うEC事業者さまに対して「不正利用対策」の実施も義務付けられました。EC事業者さま側が不正利用被害状況を把握することに加えて、次のような対策を複合的に講じていく必要があります。

本人認証システム(3Dセキュア、認証アシスト)の導入

3Dセキュアとは、インターネット上でより安全にクレジットカード決済を行うための本人認証システムです。VisaやMastercardをはじめとした国際ブランド各社が推奨する、世界標準の本人認証システムでもあります。
3Dセキュアでは、消費者がクレジットカード決済時に特定のパスワードを入力することで本人確認を行います。導入することで、事業者さま側はチャージバックが発生しても損失を負担するリスクを軽減できるでしょう。

また、本人認証システムには認証アシストもあります。これは、取引時の情報とクレジットカード会社の登録情報を照合することで、本人確認を行うシステムです。

3Dセキュアについては、以下の記事で詳しく説明しております。

3Dセキュアとは?メリットやデメリット、決済手順を解説

チャージバックについては、以下の記事で詳しく説明しております。

チャージバックとは?クレジットカードの不正利用対策についても解説

セキュリティコード認証の導入

セキュリティコードとは、クレジットカードの券面に直接印字されている数字末尾の3桁、もしくは4桁の数字です。クレジットカード決済時に消費者が券面の3、4桁の数字を入力し、そのクレジットカードが本物であることを証明します。
セキュリティコードは券面に記載されているため、パスワードのようにユーザーが失念するリスクがありません。

セキュリティコードについては、以下の記事で詳しく説明しております。

クレジットカードのセキュリティコード(CVV2/CVC2)とは?

不正検知システムによる属性・行動分析

不正検知システムは、ECサイトやクレジットカード決済などにおける不正注文を事前に検知し、不正取引による被害金の発生やチャージバックのリスクを抑制します。
不正取引かどうかの判定は、過去の取引情報などにもとづいてリスク評価によって自動的に行われます。自動的に不正取引かどうかが判定されるため、事業者さま側で逐一注文データを確認する手間がかかりません。

配送先情報の確認

蓄積された不正配送先の情報にもとづいて、商品などの配送を事前に停止します。自社に配送先情報が蓄積されていない場合は、外部サービスの利用が効果的です。

不正利用対策については、以下の記事で詳しく説明しております。

クレジットカード決済の不正利用とは?よくある手口と対策を解説

クレジットカード決済を導入するEC事業者が知っておくべき不正利用対策

SBペイメントサービスなら、カードの不正利用を機械学習・自動検知

要約資料:クレジットカード取引におけるセキュリティ対策の強化に向けたクレジットカード・セキュリティガイドライン
(出典:経済産業省と日本クレジット協会の説明会で配布された資料)

当社がご提供するカード情報非保持化対応サービス

PCI DSSに準拠する当社では、事業者さまのニーズに合わせた非保持化サービスをご提供しております。
導入すべきサービスがわからないという事業者さまは、クレジットカード情報の非保持診断をあわせてご覧ください。

PCI DSS準拠をご支援するサービス

クレジットカード情報の自社管理をご検討の場合には、PCI DSS準拠をご支援する当社パートナーのサービスをご紹いたします。

クレジットカード情報取り扱いに関する参考情報

クレジットカード情報の安全な取り扱いに関して、有益な情報が日本クレジット協会および日本クレジットカード協会より発信されています。非保持化・不正使用対策の参考情報となりますので、あわせてご確認ください。

安心・安全なクレジットカード取引への取組みについて(日本クレジット協会)

セキュリティ対策動画 公開中!



加盟店(クレジットカードを取り扱うお店)の皆様へ

不正使用を防止するために(日本クレジットカード協会)

ID・パスワードの使いまわしによる不正利用被害にご注意ください

SBペイメントサービスが選ばれる理由

SBペイメントサービスは、オンライン決済や店舗向け決済など、事業者さまのニーズに合わせた決済手段と提携サービスをご提案します。ソフトバンクのグループ企業の決済システムや決済情報を管理してきた実績を活かしながら、クレジット取引セキュリティ対策協議会が策定した「クレジットカード・セキュリティガイドライン」に準拠した安心のセキュリティサービスをご提供しています。

今回ご紹介したクレジットカードの情報漏洩対策である「クレジットカード情報の非保持化」や「PCI DSS準拠」に必要となるセキュリティサービスはもちろん、AI不正検知や不正利用対策に有効な本人認証システムなどのサービスを事業者さまのニーズに合わせてご提供いたしますので、ぜひお気軽にお問い合わせください。

決済代行なら
SBペイメントサービス

幅広い事業領域における総合提案と選ばれ続ける安心の実績
ニーズにお応えする40ブランド以上の豊富な決済サービス

国際ブランドメンバーの信頼性と万全の
セキュリティー&サポート


TOP