経産省を中心にカード事業者やセキュリティ団体らで実施された「クレジット取引セキュリティ対策協議会」にて、2020年に向けて国際水準のクレジットカード取引のセキュリティ環境を整備するための「実行計画2017」が2017年3月に公表されました。
2018年3月末までに原則として、ECサイトは「クレジットカード情報非保持化」の実施が義務付けられるため、その内容と対応について調べてみました。
「実行計画2017」の要旨
実行計画には大きく以下3つの方針があります。
- クレジットカード情報の適切な保護
- クレジットカードの不正利用防止
- 消費者等への情報発信
クレジットカードを扱う実店舗や一般消費者に向けた、デジタル・アナログ両面でカード情報を取り扱う上での仕組みと意識を改善する取組が定められています。
これら取組の中でEC事業者は 1 の内容にあたる以下いずれかの対応が求められます。
- クレジットカード情報の非保持化の対応
- クレジットカード情報セキュリティの国際基準である PCI DSS への準拠
ほとんどのECサイト運営者は前者の「カード情報非保持化」の対応が求められます。
後者の「PCI DSS への準拠」に関しては、カード情報を保持しなければ事業を行えいないカード会社、決裁事業者、銀行などに求められるより厳格かつ高コスト(1,000万円〜)な対応になります。
クレジットカード情報の非保持とは?
実行計画では以下のように定義されています。
自社で保有する機器(サーバー)・ネットワークにおいてカード情報を「保存」「処理」「通過」しないこと
以下「非保存」「非処理」「非通過」の3点を満たして「非保持」とされています。
| 非保存 | サーバーにカード情報を保存しないこと。 繰り返し利用のためにカード情報をサーバーに保存する機能などは削除・改修が必要です。 |
|---|---|
| 非処理 | サーバー上でカード情報を処理しないこと。 データとして保存せずともプログラムの処理に乗せるため変数などに保持することも許されません。 |
| 非通過 | サーバー間ネットワークをカード情報が通過しないこと。 自社サーバーから決済サービスなど外部サーバーへ通信する時にカード情報を含めてはいけません。 |
特に「通過」に関して、2016年中に報告されたカード情報の漏洩事故の大半は「カード情報通過型」のECサイトであった事実から、決済サービスを使う際も「カード情報非通過型」の決裁方式への変更が求められます。
大手決裁業者はほぼすべて非通過型に対応しており、「通過型」のサービスは順次無くなると考えられます。
まとめ
- ECサイトは2018年3月末まで「カード情報非保持化」への対応が必要
- 「非保存」「非処理」「非通過」の3点が満たされて「非保持」とされる
- 決済サービスは「カード情報非通過型」への乗り換えが必要
ECサイトを開発する制作会社は「非通過型」の決済サービスへ乗り換えが求められます。
ECサイト運営者は開発会社や開発担当部署に相談のうえ対応を進めることが求められます。
当記事の執筆時点(2017年10月)ですでに半年を切っているため、ECサイトの構築や運営をされている方々には知れ渡っており対応も進められている方も多いかと思われます。「カード情報非保持化」は義務であって、未対応だと立ち入り捜査などペナルティがある取組のため、まだ具体的に進められていない方などはこれを機に対応を検討いただけたら幸いです。