クレジットカード情報の漏洩対策・流出防止策について教えてください。
クレジットカード情報の漏洩対策・流出防止
カード情報の保持、または接触をしている限り、あらゆる局面でそれらが漏洩するリスクが存在し続けます。
こんなとき特に注意
旧来の決済代行会社及びそのシステムでは、クレジットカードで不定期なサイクルやや従量制といった柔軟な課金をしたい場合や、定期購入の商品やサービスの切り替えが発生し得る場合に備え、カード情報を保持しなければ対応できない仕組みででした。
現在でも、多くの加盟店がオンライン/オフライン問わずカード情報の保持と接触を続けています。
カード情報の保持は
禁止されているのか?
私たちを含め、いまだに多くの決済代行会社はカード情報の保持を禁止していません。実際には禁止すべきなのですが、法律でも、アクワイアラやカードブランドの規約でも、柔軟な商取引を阻害すべきではない、との考えからか禁止されていませんでしたが、この度(2016年末)、事実上の規制とも言えるものができました。
ご注意:PCI DSS非準拠では、カード情報の保持・通過ができなくなります
クレジット取引セキュリティ対策協議会が発表した「実行計画」と、割賦販売法の改定により、PCI DSS非準拠の加盟店様は、カード情報の保持・通過ができなくなります。詳しくは以下をご覧ください。
カード情報が漏洩したら?
もし漏洩事故が起きてしまった場合、カード会社(アクワイアラ)から罰金が申し付けられる場合があります。それだけでなく、企業の信頼失墜、利用者や会員への賠償金額という「予想しづらいリスク」もあり、カード情報の保持は、もはやそれに見合ったメリットがあるとは言えません。
ケース別のソリューション
書面でカード情報を持っている場合
申込書や売買契約書の一部にカード情報を記入して収集するご業態の場合、漏洩しの経路が実に多岐にわたります。いくつか例を挙げましょう。
・記入行為そのものを近くの人に見られ、控えられる
・書類を集める係の従業員が見る事ができる
・事業者様のオフィスに保管されていたものが盗まれる
以上が代表的な例で、書類でカード情報を持つためには「接触」と「保持」の両面のリスクを継続的に抱えることになります。いずれかだけでも重大なリスクで、早期で非接触と非保持の両面を実現化されるよう、強くお薦めさせていただきます。
データでカード情報を持っている場合
サーバー等のネットワーク上にカード情報を保持している場合、実際に漏洩事故は起きないまでも、既に不正アクセスを試みられた経験をお持ちのではないでしょうか。
ファイヤーウォールやUnivaPayといった専門的な設備や、暗号化などの技術によって安全に保持する事が求められますが、安価に導入できるようなものではありません。
一方、PCなどのろいわゆる「ローカル上」でカード情報を保存する事も、コンピューターウイルスやスパイウェアなどによる流出の例や、誤ってメールなどで送信してしまう事故の例もあり、安心できる管理方法とは言えません。
専門の業者である私達の決済システムへお預け頂く事が、一番の解決策であるでしょう。
日常的にカード情報に接触する場合
例えば自社でコールセンターを設けているTV通販などの事業者様の場合、オペレーターが業務上、カード情報に接触するのは当然のことです。
しかし、手元にメモを残してしまうなどして、意図せず一時的にカード情報を保持してしまう可能性や、悪意をもってカード情報を収集する従業員が現れないとも限りません。
当社のコールセンター決済は、専門のスタッフがPCI-DSSの準拠した運用ルールで安心してカード情報をお受け取りできるだけでなく、既にコールセンターをお持ちの企業様から、カード決済の手続きだけを転送でお繋ぎできる仕組みをご用意しており、通販事業者様には「完全なカード情報の非接触化方法」としてお役立ていただけます。
コールセンター決済のページヘ