ECコラム
EC決済、クレジットカード情報非保持化とは!?
ECサイトで買い物する時の支払いはどうされてますか?
代金引換だと手数料が取れてしまうから、簡単で便利なクレジットカードで支払いをされる方は多いのでは?
今回は、そんなクレジットカードに関するお話をしたいと思います。
実は、EC/通販事業者には2018年3月末をもって、“クレジットカード情報非保持化”を求められています。
そもそも、クレジットカードの情報非保持化とは何でしょうか。
何故しないといけないのでしょうか。
詳しく見ていきたいと思います。
クレジットカード情報非保持化とは
カード情報の非保持化とは、クレジットカードの加盟店の機器ネットワークにおいて、カード情報が処理・保存・通過がされないことを言います。
非処理…カード会社と決済の処理をしない。
非保持…カード情報を保存しない。
非通過…カード情報を通過させない。
このすべての要素を満たした状態が非保持化です。
2016年12月に割賦販売法が改正され、加盟店に対し、クレジットカード情報の非保持化が義務付けられたのです。
それまでは、ECサイトを運営されている店舗で、決済代行サービス等を使用せず、個々に処理していた店舗もあったのです。
なぜ、非保持化が義務付けられた?
そこには、カード情報漏えいによる急速な不正使用被害が増加した背景があります。
なんと2015年の不正使用被害額は120億円でした。
これは、3年間で1.8倍の増加です。
経産省HPでは下記のように、非保持化に至る背景を述べています。
クレジットカードショッピングは、消費者の購入機会を拡大するとともに、
円滑な決済を可能とするものであり、現代の消費生活において重要な役割を担っています。他方、我が国においては、近年、セキュリティ対策が不十分なクレジットカード加盟店を狙った
不正アクセスによってカード情報が漏えいする事故が増加しており、
これに伴う偽造カードによる取引や、ネット取引上でのなりすましといった不正使用被害が増加しています。世界に目を向けると、これまで我が国と同様にIC対応が遅れ、
世界のカード不正使用被害の多くが集中していた米国においてIC対応化が急速に進展しています。
こうした中、我が国が世界の「セキュリティホール」と化して国際的な犯罪が集中するリスクが高まりつつあります。
昨年5月には南アフリカ銀行の銀行で発行されたカードの偽造による不正キャッシングが日本国内のコンビニATMで一斉に行われ、
約3時間の間に18億円を超える被害が生じました。
こうした不正取引被害を防止するためにも、
2020年に向けて国際水準のクレジット取引のセキュリティ環境を整備するため、
一昨年3月に(一社)日本クレジット協会及び当省が主体となり、
「クレジット取引セキュリティ対策協議会」を立ち上げ、昨年2月に、
クレジットカード会社や加盟店等の各主体が講ずべき
セキュリティ対策に係る措置を取りまとめた「実行計画2016」を策定したところです。
「実行計画2017」は、その後の進捗や、昨年12月に成立した割賦販売法の改正等を踏まえ、
「実行計画2016」を改訂したものになります。
引用元(経産省HP)http://www.meti.go.jp/press/2016/03/20170308003/20170308003.html
クレジットカードを狙った不正取引が世界中で行われており、国際犯罪に日本も狙われているということですね。
恐ろしいことです。
どんな対応をすればいいの?
◆ネットショップで既にカード決済を利用しているEC店舗
非通過型決済への移行、またはPCIDSSへの準拠が強く求められます。
PCIDSSとは
加盟店やサービスプロバイダにおいて、クレジットカード会員データを安全に取り扱う事を目的として策定された、クレジットカード業界のセキュリティ基準。
国際カード5社(American Express、Discover、JCB、MasterCard、VISA)が設立した
PCI SSC(Payment Card Industry Security Standards Council)によって運用、管理されています。
またシステムログ等に、カード情報などの決済情報の有無を確認し、履歴がある場合は即刻消去することが強く求められます。
◆ネットショップを始めるまたはショップに新たにカード決済を導入するEC店舗
上記の場合と同様に、カード情報の非通過型決済の利用やPCIDSSへの準拠が求められます。
もし、非保持化をしなかったら?
改正割賦販売法による措置があります。
・行政から加盟店への報告徴収、立入検査
・カード会社等が、加盟店の不履行について加盟店情報交換制度(JDMセンター)へ報告
・カード会社等による、加盟店への是正指導および契約解除
非保持化をしない場合、ECサイトでカード決済ができなくなる可能性があります。
セキュリティ対策を万全に
今後はECサイトを制作・運営する上でも、クレジットカードや個人情報の漏えいなどから、顧客を守る事に万全で有らなければなりせん。
なりすましによる不正使用防止のため、パスワードの入力等により本人が利用していることを確認できる仕組みや申込者の過去の取引情報などから不正な取引かどうかを判定します。
また、手法の導入等、各加盟店の業種・取扱商材、リスクの状況に応じて、多面的・重層的な不正使用対策をする必要があります。
現在も、インターネットショッピングのカード決済には「本人確認等」が必要になりました。
「カード番号」と「有効期限」に加え、本人確認のための「追加情報」の入力を求められます。
追加情報の例
●パスワードの入力追加
インターネットショッピング専用のパスワード(店頭でICカード利用時に使用する 4桁の暗証番号とは別のもの)を入力することで、利用者本人が取引を行っていることを確認します。
●セキュリティコードの入力追加
クレジットカードの表面もしくは裏面に記載された3桁または4桁の数字「セキュリティコード」を入力することで、ご使用のクレジットカードが真正であることを確認します。
こうしたセキュリティ対策をECサイトを制作するうえで、しっかり対応しておくことで、
犯罪被害から自らの店舗と顧客を守り、店舗としての信頼感が増し、売上も向上するのではないでしょうか。
おわりに
2018年6月にいよいよ改正割賦販売法が施行されるにあたり、決済方法にクレジットカード決済を用いているEC/通販事業者は、
クレジットカード情報非保持化、またはPCI-DSSへの準拠といずれかの対策を実施することが義務付けられているものの、いまだに対応が遅れている事業者も多いようです。
背景としては、クレジット取引セキュリティ協議会が発表している「クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画」にて、
カード情報の非保持化が必要な自社環境の範囲が、サーバーからPCや業務端末などの機器も含まれるようになったことが大きな要因のようです。
決済のセキュリティも万全なECサイトを目指すなら
ぜひSPCにご相談ください!
売れるECサイトの企画・構築・運用なら「ECサイト制作.com」