カード情報の非通過化

2018年3月末までにオンライン加盟店に求められている「カード情報の非通過化」を解説します。

非通過化が求められている背景

クレジット取引セキュリティ対策協議会が発表した「実行計画」により、決済代行会社のオンライン決済システムを利用している加盟店（EC・ネットショップなどを運営している事業者）は、2018年3月末までにカード情報の「非保持化」を行う必要ができました。

非保持化とは、事業者様が利用する機器ネットワーク内においてカード情報を保存・処理・通過のいずれも行わないことです。

2018年4月以降、引き続きオンライン決済システムを利用するには、私たち決済代行会社が加盟店様に対し、通過型の決済を行わないよう注意喚起、指導をする責任を負います。

ご注意：PCI DSS非準拠では、カード情報の保持・通過ができなくなります

クレジット取引セキュリティ対策協議会が発表した「実行計画」と、割賦販売法の改定により、PCI DSS非準拠の加盟店様は、カード情報の保持・通過ができなくなります。詳しくは以下をご覧ください。

カード情報の非通過化のページヘ 

「カード情報の通過」の概念

「カード情報の通過」とは、クレジット加盟店の管理するwebサイト、システム、従業員のいずれかが、PAN（Primary account number＝一般的に最大16桁のカード番号）、EXP（Expire＝カード有効期限）、セキュイリティコードなどのいわゆる「カード情報」を参照できうる状態で事業が行われていることを指します。

　参照できうる状態が存在していれば全て「通過している」と見なされます。たとえ、利用後に即時破棄している場合であってもです。

「通過」と見なされる、当社既存の接続方式（具体例）

　以降、画像が全てクリックかタップで拡大

◆一般的なネットショップ（ECサイト）で用いられる「ゲートウェイ方式」

ゲートウェイ方式（他社でいう「API方式」など）では、カード情報が加盟店ドメイン内で入力された後に決済代行会社に送信されるため「通過」しています。加盟店内を赤線が通過していることからも、ご理解いただけるかと思います。つまりゲートウェイ方式は2018年4月以降、原則的※にご利用いただけません。

◆書面申込のあるご業種・ご業態でカード情報の記入がある場合

この場合も、加盟店スタッフ様やお使いのPCなどをカード情報が通過する（同じく赤線が通過している）ため「通過」と見なされます。つまりCSVアップロード式も2018年4月以降、ご利用いただけなくなる予定です。

◆自社ならびに委託先コールセンターでカード情報を聞く場合

　この場合も、コールセンタースタッフ様や委託先企業をカード情報が通過する（同じく赤線が通過している）ため「通過」と見なされます。

※…加盟店様並びにお使いのシステムがPCI DSS準拠している場合を除く

2018年3月末までに求められる対応

現在通過型の決済方式を採用している加盟店様には、以下いずれかの対応が必須です。

当社における「非通過型」の決済方式

以下の方式をご案内可能です。これから新規での接続をお考えの方や、既存加盟店様で接続方式の変更をご検討の方は、以下よりお選びいただけますよう、お願いいたします。

◆当社フォームへハイパーリンクするだけの「リンク方式」

リンク方式は、当社システム内でカード情報の入力がされるため、完全な非通過化が実現できます。書面や自社コールセンターを使っていた場合でも、比較的容易に移行できます。

◆当社コールセンターを活用いただく「コールセンター方式」

申込フローを変更いただく必要がありますが、書面や自社コールセンターで行なっていた決済を、当社コールセンターで代替する事でも、「非通過型」が実現できます。

◆当社の「Javascript方式」

当社の決済システムは、協議会が非通過型として認めている、画面遷移をしないサーバー間通信を行いながらも、Javascriptを用いて加盟店サーバーをカード情報が通過することなくトークン化する方式を実装しています。

さいごに：対応しないとどうなる？

　協議会による実行計画と同じく2018年には、割賦販売法の改正により、加盟店様にはカード情報の適切な管理と不正利用防止などのセキュリティ対策が義務付けられます。管理や対策が不十分であると判断された場合、是正指導や加盟契約解除などの措置が取られるとされています。

　是非ともこれを機に、接続方式の変更をご検討いただけますよう、お願い申し上げます。