改正割賦販売法とクレジットカード情報の非保持化について

クレジットカード決済

Facebook にシェア
Pocket

クレジットカード決済は近年馴染みのある決済手段として認知されていますが、同時にカード情報を不正入手よる不正使用被害額は増加傾向にあります。それに伴い、カード情報を扱う側の重要性が再認知され、クレジットカード会社や加盟店に講ずべき措置が策定されました。

本ブログでは2018年6月から施行される割賦販売法改正、そして経済産業省から発表されたクレジットカードのセキュリティ対策の採用指針について、特にEC(インターネットショップサイト)事業者における、2018年3月までに対応が求められた「カード情報の非保持化」もしくは「PCI DSS(Payment Card Industry Data Security Standard)準拠」についてまとめております。

割賦販売法施工の目的とは?その理由とは

割賦販売法の改正について

ECの普及をはじめとして、日本におけるクレジットカードの取扱高は2013年約41兆円から2016年約50兆円へと拡大しています。その一方で、クレジットカード取扱加盟店におけるカード情報等の漏洩事件や不正利用が増加しており、2012年で約68億円の不正使用被害額が2016年で約142億円と拡大している現状がありました。

こうした状況や、2020年開催予定である東京オリンピックを踏まえ、安心安全なクレジットカード決済を提供するべく環境構築を背景に、クレジットカードにおけるセキュリティ面を強化に向け、割賦販売法が改正されました.

実行計画とは

割賦販売法改正に伴い、「クレジット取引セキュリティ対策協議会」では毎年「実行計画」というものを策定しています。これは、クレジットカード取引におけるセキュリティ環境を国際水準まで整備するため各主体がこうすべき措置をとりまとめた、いわばクレジットカード会社や加盟店がクレジットカード情報を扱う際の指針のようなものです。

この実行計画の主な目的は2つあり、
1つはカード情報を扱う各主体の決済通信を非通過型(リンク方式・トークン方式)にて決済を行うこと、またはPCIDSS準拠をすること。
2つ目は店頭にてクレジットカード決済を行う際にICカード端末にて行うことになります。

次に、EC事業者について関係する、決済通信の非通過型(リンク方式・トークン方式)またはPCIDSS準拠についてみていきます。

クレジットカード情報の非保持化とは

クレジットカード情報が漏えいには、そもそもカード情報を保有しており、そこに不正アクセスがなされるという因果関係があります。こうした背景からカード情報を非保持化して漏えいするリスクをなくそうという発想が生まれました。

カード情報の非保持化とは、具体的にはカード情報がECサイトのサーバー上で保存・処理・「通過がなされない」状態のことを言います。

例えば購入者がECサイトで商品を購入する場合に、サイト上で氏名や住所、カード情報を入力することになります。このとき「カード情報入力」がECサイトのサーバー上で行われなければ、カード情報の非保持化に対応していることになるのです。

割賦販売法改正前では、ECショップなどで買い物をする際に「通過型」の決済方式を用いることがスタンダードで、加盟店のドメインからカード情報を送信して決済を行っていました。しかしこの方式だと加盟店でカード情報を参照できうる可能性があるため国際水準のセキュリティ環境を満たしていませんでした。
そこでカード情報はPCIDSS準拠している決済代行会社側のサーバーのみを通過、つまり加盟店のサーバーは非通過で、決済を実現することで、加盟店側でカード情報を参照できないようにするということになります。

加盟店のサーバーでクレジットカード情報を「保存・処理・通過することが禁止となります。

カード情報を大量に取り扱う決済代行会社では「PCIDSS準拠」を行いますが、PCIDSSはセキュリティ要件も厳しく高額な費用がかかるため一加盟店による準拠は現実的ではありません。そのため、加盟店には「カード情報の非保持化」の対応が基本的な対応になります。

「カード情報の非保持化」を目指すためのカード決済システム

カード情報非保持化のための好ましいカード決済システムは「JavaScript を使用した非通過型」、「リダイレクト(リンク)型」という2種類が推奨されています。決済代行会社が提供するシステムで、いずれかを選択することが一般的な対応になります。

JavaScript を使用した非通過型

ECサイトで商品購入の際、入力されたカード番号をトークンという乱英数字の文字列に置き換えて決済を行います。トークンに置き換えられた文字で決済処理が行われるためカード情報そのものの非保持となるのです。

<メリット>
このシステムは現状の決済システムに「モジュール/プロトコル型」を利用しているのであれば、そこにシステムを追加することで対応できるので費用が少なくて済みます。
<デメリット>
新しくECサイトを開設、またはリニューアルするときなどは、システム開発に時間や新たなコストがかかります。手間をかけず迅速にECを始めたい事業者には負担になることもあるでしょう。

リダイレクト(リンク)型

カード情報入力をECサイトのサーバーとは別の、つまり決済代行会社のサーバー上で行う決済システムです。

<メリット>
決済代行会社で用意している決済画面のテンプレートを利用するので、初期導入が楽にできます。
<デメリット>
商品購入時にカード情報入力に画面が移行する際、今までと違う作りの画面になり購入者が不信感を持ち入力をためらうことがうかがえます。形式上の行程が不自然に思われてしまうことがあるのです。

タブレット端末レンタル

また、割賦販売法改正により運用方法によっては今まで行えていたクレジットカード決済を行えなくなるケースもあります。例えば、MOTO加盟店(電話・ハガキオーダー加盟店)では電話またはハガキでクレジットカード情報を受け取り、担当者が自社機器にてカード情報を打ち込み、決済を行っている場合は、カード情報を参照できうる環境にあり「実行計画」に記されている適切な保護措置を講じているとは言えません。

割賦販売法改正の施行後は、MOTO加盟店にてPCIDSS準拠するか、PCIDSSに準拠している決済代行会社が提供する決済端末機器にてカード情報を入力しクレジットカード決済を行う必要がございます。
例えば、弊社のような決済代行会社が提供するタブレット端末レンタルサービスを利用いただければ、決済端末を貸与し、それらを使い法改正前と同じ運用方法でクレジットカード決済が可能になります。

ROBOT PAYMENTのタブレット端末レンタルサービスの決済方法

【おすすめ】ROBOT PAYMENTのタブレット端末レンタルサービス

まとめ

ここで紹介したEC事業者による「カード情報の非保持化」への移行自体は2018年3月までに終了しています。しかし購入者が安心して買い物ができてEC全体の信頼感を高めるためにも、セキュリティ対策は常に心がけておきたいところです。

     
【監修】ROBOT PAYMENT フィナンシャルクラウド事業部

ROBOT PAYMENTは請求管理業務を効率化・自動化するクラウドサービス「請求管理ロボ」や
サブスクリプションサービスに特化した決済代行サービスを提供しています。
「お金をつなぐクラウドで世の中を笑顔に」というビジョンを下にお客様に満足を提供致します。