サブスクペイのセキュリティ

国際標準の最高品質なセキュリティレベルで、加盟店様とお客様の決済を守ります

サブスクペイのセキュリティが選ばれる理由

サブスクペイは、クレジットカード業界の国際セキュリティ基準であるPCI DSS 4.0.1、情報セキュリティマネジメントの国際規格ISO/IEC 27001:2022、個人情報保護のプライバシーマークの3つの認証を取得しています。

通信は最新のTLS 1.2 / 1.3によって暗号化され、主要な決済処理ではTLS 1.3を採用しています。保存データはAES-256による強固な暗号化で保護。さらに、カード番号を「トークン化」することで、加盟店様のサーバーに実カード情報を残しません。

これにより加盟店様は、自社で重いセキュリティ対策を行うことなく、「コスト削減」と「最高水準のセキュリティ」を同時に実現でき、エンドユーザー様には「安心して使える決済体験」をご提供できます。

加盟店様にとっての3つの大きなメリット

サブスクペイの強固なセキュリティ体制は、加盟店様のビジネスに次のような価値をもたらします。

① カード情報を自社で保持しなくてよい　お客様のクレジットカード情報は、PCI DSS 4.0.1準拠のサブスクペイの決済システムが代わりに保有します。加盟店様はカード情報の管理から解放されます。
② セキュリティ投資のコストを大幅削減　強固なセキュリティ対策に時間と資金の負担をかけることなく、安全なクレジットカード決済を導入できます。
③ ブランド価値と顧客の信頼を守る　万一の情報漏えいやチャージバックといったリスクを最小化し、お客様に安心してご利用いただける決済環境を提供できます。

PCI DSS 4.0.1（Payment Card Industry Data Security Standard）準拠

PCI DSSは、クレジットカード業界の主要国際カードブランド（Visa、Mastercard、JCB、American Express、Discover）が設立したPCI SSC（Payment Card Industry Security Standards Council）が策定した、世界共通のセキュリティ基準です。準拠の確認には、①問診票による自己診断、②脆弱性スキャニングテスト、③専門家による訪問調査の3種類の診断プログラムが用いられます。サブスクペイは最新のPCI DSS バージョン4.0.1に準拠したシステム・管理体制で業務を運用しており、定期的に外部監査を受けています。加盟店様はカード情報を自社で保持することなくクレジットカード決済を導入できるため、セキュリティ対策のコストと運用負担を大幅に軽減できます。

ISO/IEC 27001:2022（ISMS）認証取得

当社は、情報セキュリティマネジメントシステム（ISMS）の国際規格であるJIS Q 27001:2023（ISO/IEC 27001:2022）の認証を取得しております。情報資産を「機密性・完全性・可用性」の3つの観点から組織的に保護する仕組みを構築・運用し、第三者監査によって継続的にその有効性を確認しています。サブスクペイをご利用いただくこと自体が、加盟店様の情報セキュリティ体制の強化につながります。

プライバシーマーク

プライバシーマークは、個人情報について適切な保護措置を講ずる体制を整備している事業者等を評価して、その旨を示すプライバシーマークを付与し、事業活動に関してプライバシーマークの使用を認める制度です。日本産業規格「JIS Q 15001個人情報保護マネジメントシステム－要求事項」に準拠した「プライバシーマークにおける個人情報保護マネジメントシステム構築・運用指針」に基づいています。当社は、一般財団法人日本情報経済社会推進協会よりプライバシーマークの付与認定を受け、日本の個人情報保護法に準拠した形で個人情報の保護に努めております。

SSL/TLS による通信の暗号化（TLS 1.3対応）

SSL/TLSは、インターネット上の通信を暗号化し、不正アクセスや盗聴からお客様の情報を守る通信技術です。かつてのSSLの後継規格がTLS（Transport Layer Security）で、現在はTLS 1.2以上が標準とされています。当社サービス「サブスクペイ」では、加盟店様からの接続には最新のTLS 1.3に対応しており、現行で最も安全な暗号化方式でご利用いただけます。また、サブスクペイから加盟店様システムへお送りする決済結果通知やキックバック通信も、TLS 1.2以上で暗号化されているため、決済データが第三者に読み取られる心配はありません。

AES-256 によるデータ暗号化とトークン決済

サブスクペイでは、保存するクレジットカード番号・口座情報・個人情報を、米国政府機関も採用する強固な暗号化方式AES-256で暗号化して保管しています。万が一データそのものが流出した場合でも、内容を読み取られるリスクを極めて低く抑える設計です。

さらに、トークン決済を採用することで、カード番号は決済時に「トークン」と呼ばれる一時的な識別子へ置き換えられます。加盟店様のサーバーではカード番号そのものを保持・通過しないため、万が一加盟店様のサーバー情報が流出した場合でも、実カード情報が漏えいするリスクを低減できます。
トークンは決済代行システム側でのみ実カード情報と紐付けて管理されており、トークン単体からカード番号を復元することはできません。また、バックアップデータについても暗号化したうえで多地点に分散保管し、災害時にも安全に復旧できる体制を整えています。

3Dセキュア2.0（EMV 3-Dセキュア）

3Dセキュア2.0（EMV 3-Dセキュア）は、ECサイトでのクレジットカード決済において、カード発行会社（イシュアー）が取引リスクに応じて追加認証を行う本人認証サービスです。追加認証が必要な場合はワンタイムパスコードや生体認証等を求め、リスクが低いと判定された取引は追加操作なしでスムーズに完了します。
経済産業省のガイドラインによりEC加盟店への原則導入が求められている重要なセキュリティ対策ですが、サブスクペイでは3Dセキュア2.0に対応し、標準機能として追加料金0円でご提供しています。チャージバックリスクを大幅に減らしながら、お客様の購入体験を損なわない最適な本人認証を実現します。

詳細はこちら

セキュリティコード（CVV/CVC）認証

セキュリティコードは、クレジットカードの裏面（一部のブランドは表面）に印字された3桁または4桁の番号で、カード現物を持っていないと知り得ない情報です。サブスクペイの決済フォームではセキュリティコード認証を採用しており、なりすましによる不正利用を効果的に防止します。

詳細はこちら

多要素認証（MFA）と権限管理（RBAC）

加盟店様の管理画面ログインには、多要素認証（MFA）を採用しています。ID／パスワードに加え、ワンタイムパスコード等の第2要素を組み合わせることで、万一パスワードが漏えいしても第三者による不正ログインを防止します。また、IPホワイトリスト機能により、決済APIや管理画面へのアクセス元IPを制限することができます。

さらに、サブスクペイ Professionalでは、ロールベースアクセス制御（RBAC）と最小権限原則（PoLP）に基づき、「運営者」「管理者」「担当者」といった役割ごとに操作可能な範囲を厳格に分離。加盟店様自身も、社員ごとに参照・編集権限を細かく設定できる権限設定機能をご利用いただけます。IPホワイトリスト機能により、顧客・契約データへのアクセス元IPを制限することも可能です。

セキュアなAPI連携と通信制御

サブスクペイのAPIは、業界標準のセキュリティを組み込んで設計されています。HMAC-SHA256署名やAPIキー認証によりリクエストの正当性を検証し、APIレートリミットで大量リクエストによる攻撃や障害発生を未然に防ぎます。

口座振替などWEB方式の連携では一回限り有効なAPIキーを使用し、トークンに有効期限を持たせることで、第三者によるリプレイ攻撃を防止しています。パスワードはbcrypt等の一方向ハッシュで保管され、管理画面には適切なセッションタイムアウトも設定されています。

定期的な外部監査・脆弱性診断・ペネトレーションテスト

セキュリティは「一度作って終わり」ではなく、継続的な検証と改善が不可欠です。サブスクペイでは、PCI DSS および ISO/IEC 27001 の外部監査を定期的に受審し、第三者の目で運用体制をチェックしています。

さらに、OWASP Top 10に基づいた脆弱性スキャン（SAST/DAST）の定期実施、年1回以上の外部ペネトレーションテスト、OS・ミドルウェア・アプリケーションへのセキュリティパッチの計画的適用により、新たな脅威に迅速に対応しています。決済サーバーの定期メンテナンススケジュールは公式に公開し、加盟店様が安心して運用計画を立てられる透明性を担保しています。

全操作の監査ログと集中監視

決済処理・API呼び出し・管理画面操作のすべてを、時刻・ユーザーID・IPアドレスとともに監査ログとして記録しています。これらのログはSIEM（Security Information and Event Management）基盤で集中管理され、24時間体制で異常なアクセスや挙動を検知・分析する仕組みを構築しています。

万が一インシデントの兆候があれば即座に検知でき、原因究明や影響範囲の特定もスピーディに実施可能です。

多層防御のインフラ（WAF / IDS・IPS）

サブスクペイは、ISO 27001認証取得済みの信頼性の高いクラウドインフラ上で運用されています。ネットワーク・サーバー・アプリケーションの各層で、次のような多層防御を実施しています。

● WAF（Web Application Firewall）：SQLインジェクション、XSS（クロスサイトスクリプティング）など、アプリケーション層への攻撃を遮断
● IDS / IPS（侵入検知・防御システム）：不正な通信パターンを検知し自動でブロック
● XSS / CSRF 対策：トークン発行、HTMLエスケープ、SameSite属性などをアプリケーション側で徹底実装
● DKIM / SPF / DMARC：送信メールの認証によりなりすましメール・フィッシングを抑止

これらを組み合わせることで、攻撃の入り口から最深部まで段階的に脅威を排除する設計になっています。

事業継続性（BCP/DRP）と高可用性

決済サービスは、止まらないことそのものが信頼の証です。サブスクペイは災害復旧計画（DRP）と事業継続計画（BCP）に基づき、データのバックアップを地理的に離れた複数拠点に暗号化保管。災害・障害時にも迅速にサービスを復旧できる体制を整えています。

定期メンテナンスや障害情報は公式サイトおよびサポートサイトにて速やかに公開し、加盟店様が常に最新の状況を把握できる運用の透明性を確保しています。

不正検知と即時通知

不正利用の疑いが検知された場合には即時の決済停止と通知を行い、被害の拡大を未然に防ぎます。また、加盟店様・エンドユーザー様へお送りする通知メールにカード番号などの機密情報は含めない設計とし、メール経路からの情報漏えいリスクも排除しています。

決済手段ごとに最適化されたセキュリティ

サブスクペイは、決済手段ごとに最適なセキュリティ対策を実装しています。

● クレジットカード決済：PCI DSS 4.0.1準拠、トークン化、3Dセキュア2.0、セキュリティコード認証で多層的に保護
● 口座振替（りそな等）：一回限り有効なAPIキーを採用し、安全に口座情報を扱います
● バンクチェック（銀行振込）：取引IDと入金日のクロスチェックで二重受領や誤入金処理を防止
● コンビニ／ペーパーレス決済：一度きり・有効期限付きの決済コードを発行し、コードの再利用や不正流通を防止
● 分割払い：分割払いを選択した際にも3Dセキュアを適用し、継続的に本人認証を実施