決済セキュリティの基礎知識!コンテンツ販売者が知っておくべき『クレジットカード情報の非保持化』とは?
ECサイト運営者にとって、情報漏洩は事業の停止に直結する最大のリスクです。
特に、クレジットカード情報の漏洩は、多額の損害賠償やブランドイメージの失墜を招きます。
ここでいうクレジットカード情報の非保持化とはいったいどういうことでしょうか?
クレジットカード情報の非保持化とは、自社のサーバーやPC、ネットワーク機器などにカード情報(番号やセキュリティコード)を一切保存・処理・通過させないことです。
これは、改正割賦販売法によってEC事業者に求められている義務です。
ではなぜ、この義務がビジネスをおこなうことにあたりこちらが求められるのでしょう…
『クレカ情報非保持化』がECサイト運営者の必須事項になった理由
改正割賦販売法が義務化するもの
2018年施行の改正割賦販売法により、クレジットカードを取り扱う事業者は、カード情報の保護を義務付けられました。
これに対応する最も現実的な方法が「非保持化」です。
ユーザーへのサービス提供にあたり、重要となる法令遵守となりました。
非保持化を怠った場合の致命的なリスク
法的責任と損害賠償リスクは大きく情報漏洩が発生した場合、事業者は多額の賠償責任を負う可能性があります。
ブランドイメージの崩壊への影響も大きく、一度失った顧客の信頼を取り戻すのは極めて困難です。
今すぐできる!「クレカ非保持化」を実現する具体的な対策
「自社でカード情報を処理しない」ための具体的な方法を、コストや手間の観点から解説します。
対策の基本:決済処理をプロに任せる
【推奨その1】
PSP(決済代行会社)を利用した『リンク・リダイレクト型』
- 決済処理時に、顧客を決済代行会社(PSP)の安全なページに移動(リダイレクト)させ、カード情報を自社のシステムに一切通過させません。
- 最も手軽かつ安全で、中小事業者が非保持化を実現する現実的な方法です。
【推奨その2】
PSP(決済代行会社)を利用した『トークン決済』
- 顧客のカード情報を、決済代行会社が発行する「暗号化された無意味な文字列(トークン)」に置き換えて通信・処理します。
- 自社サイト内で決済が完了するため、顧客の離脱を防ぎつつ、自社サーバーにはカード情報が残りません。(UnivaPay以外にも、多くの決済代行会社でもこの方法が用いられています)
Chapter3
あなたのサイトは大丈夫?
ECサイトセキュリティ対策チェックリスト
これからビジネスをはじめようとご検討のかたも、既にECサイトを作成しているかたも
セキュリティ対策として、以下チェックリストをご参考ください。
確認すべき項目
SSL/TLSの導入状況
サイト全体が常時SSL(HTTPS)化されているか?
決済代行会社への依存
クレジットカード情報を取り扱う部分をすべて決済代行会社に委託できているか?
サーバー内のデータ
過去に顧客のカード情報などをテキストファイルやデータベースに保存した形跡がないか?
PC・ネットワーク
従業員のPCや社内ネットワークが、ウィルスや不正アクセス対策されているか?(サーバーだけでなく端末の管理も重要)
まとめ
セキュリティはコストではなく
「信頼」への投資と考えてください
クレカ非保持化は、手間のかかる作業ではなく、あなたのコンテンツビジネスを長期的に守るための必須の投資です。
現在、自社サーバーに少しでもカード情報が通過している可能性がある場合は、すぐに決済代行会社に相談し、クレジットカード情報の非保持化を実現しましょう。
