ECサイトは2018年までにクレジットカード決済の方法を変更するか（クレジットカード情報非保持化）、PCI DSSへの準拠が必要

ECサイトは2018年3月末までにクレジットカード決済の方法を変更するか、PCIDSSへの準拠が必要
クレジットカード決済は欠かせないインフラとなった
クレジットカード決済の取り扱いが増える一方、クレジットカードの不正使用は増加している
1. クレジットカード不正使用の増加はEC業界の活性化が原因
2. カード不正使用で集められた資金は犯罪組織の資金源になっている
ECサイトに求められる対応は、クレジットカード決済の方法変更、もしくはPCIDSSの認定取得
1. 対応策１：クレジットカード情報入力を決済代行会社システムで行う非通過型に変更する
2. 対応策２：PCI DSSに準拠する
PCI DSSとは？またPCi DSS認定取得のメリット。
1. PCI DSSとは
2. PCI DSSの認定を取得するメリット

ECサイトは2018年3月末までにクレジットカード決済の方法を変更するか、PCIDSSへの準拠が必要

ECサイト事業者様は既にご存知だと思いますが、2018年3月末までにクレジットカード決済の方法を変更するか、PCIDSSへの準拠が必要です。

これは、経済産業省が国際水準のクレジットカード取引のセキュリティ環境を整備する為にまとめた実行計画によるものです。
EC事業者様の対応は2018年3月末までとなっていますので、残りあと1年6ヶ月です。
その間に、システム改修、もしくはPCIDSS認定取得が必要となります。
参考：クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画を取りまとめました～国際水準のクレジットカード決済環境の整備を進めます～
参考：クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画 -2016-【公表版】

クレジットカード決済は欠かせないインフラとなった

依然として国内消費が横ばいで推移しているにも関わらず、クレジットカード決済の取引高は伸び続けています。

2014年にはクレジットカード決済の取扱高46兆円を超えています。
近年、急成長するECサイトにおいても、クレジットカードはメインの決済手段としての役割を果たしています。
今や、クレジットカードは商取引きにおける重要なインフラとして確固たる地位を築いています。

クレジットカード決済の取り扱いが増える一方、クレジットカードの不正使用は増加している

クレジットカード決済が欠かせない決済手段となり、カード決済の取り扱いが増える一方で、クレジットカードの不正使用お増えています。
クレジットカード情報の漏洩・流出は1年に何回か発生しており、皆さんも1年に1度は耳にしているかと思います。

クレジットカード不正使用の増加はEC業界の活性化が原因

クレジットカード不正使用の増加の原因の1つとして、EC業界の活況化が挙げられます。

日本クレジット協会によりますと、2014年には約114億円の被害が生じています。
特に、ECサイトにおけるクレジットカード不正使用が、全体の6 割近くを占めています。

クレジットカードの不正使用には、漏洩したカード情報が使用されている訳ですが、外部からの攻撃に対してセキュリティが脆弱なECサイトからの漏洩が増加しています。
つまり、カード情報の漏洩の増加とカード不正使用の増加の多くが、いずれもがECサイト起因によるものです。

カード不正使用で集められた資金は犯罪組織の資金源になっている

尚、カード不正使用で集められた資金は犯罪組織の活動資源となっています。
その為、クレジットカード決済を導入しているEC事業者は社会正義の観点からも、セキュリティ対策に真剣に取り組む責務があることを認識する必要があります。

ECサイトに求められる対応は、クレジットカード決済の方法変更、もしくはPCIDSSの認定取得

では、ECサイト事業者様は2018年3月末までにどのような対応をすれば良いのでしょうか？

対応策としては2つあります。
ECサイト事業者様は、以下のいずれかを2018年3月末までに対応する必要があります。

対応策１：クレジットカード情報入力を決済代行会社システムで行う非通過型に変更する

ECサイトのクレジットカード決済には「通過型」と「非通過型」の2種類があります。

通過型とは、ECサイト内でクレジットカード情報を入力する方式のことです。
実際のカード認証、決済処理は決済代行会社で行っていても、カード情報を入力するページがECサイト内に存在していれば、それは通過型になります。
決済代行会社の中には、「埋め込み型」「API型」「データ伝送型」「データ連携型」「モジュール組込型」などと呼んでいるところもあります。

一方、非通過型とは、クレジットカード情報入力を決済代行会社のシステムで行う方式のことです。
非通過型の多くは、ECサイトからいきなり別ページ（決済代行会社の管轄するクレジットカード情報入力ページ）へ遷移するので、皆さんもご存知かと思います。
決済代行会社の中には、「リンク型」「画面遷移型」「画面連携型」「決済画面提供型」「Webリンク型」などと呼んでいるところもあります。

別の言い方をすると、クレジットカード情報の入力ページのURLがECサイトと同じドメインであれば通過型。
クレジットカード情報入力ページのURLがECサイトと異なるドメイン（決済代行会社システムのドメイン）であれば非通過型ということになります。

尚、既に非通過型を採用しているECサイトは、今回は対応する必要がありません。
（後述のPCI DSS認定取得も不要です。）

しかし、現在、通過型を採用しているECサイト、つまりサイト内でクレジットカード情報を入力するEC事業者様は対応が必須となります。
対応とは、通過型を非通過型に変更するか、後述のPCI DSS認定取得のいずれかです。

PCI DSS認定取得する為には、専門コンサルタントに相談する必要もあります。
また、コンサルタントの指示でシステムを改修する必要があり、コスト的には非通過型にする方がかなり格安になります。

対応策２：PCI DSSに準拠する

もう一つの方法としては、PCI DSSに準拠（認定取得）することです。
（PCI DSSに関しては後述致します。）

上述の通り、PCI DSSの認定を取得する為には、専門コンサルタント（専門会社）に相談する必要がありますし、多かれ少なかれシステムの改修の指示がコンサルタントから出ます。
その為、PCI DSS認定取得の為のコンサルタント費用、システム改修費用、社内運用整備などの金銭的・人的コストが掛かって参ります。

また、認定を取得したからといって、それで終わりではなく、PCI DSSに準拠した運営を継続して行う必要があります。
その為、ECサイト事業者様にとっては、かなり負担が掛かる選択になります。

2018年3月末まであと1年6ヶ月です。
短いようであっという間に迫ってきます。
今から対応を検討し、早めに着手することをお勧め致します。

PCI DSSとは？またPCi DSS認定取得のメリット。

最後にPCI DSSについてご説明致します。

PCI DSSとは何でしょうか？
またPCi DSSの認定を取得するメリットとはどのようなものでしょうか。
以下、参考サイトからの引用となりますが、ご覧下さい。
参考：PCIDSSとは｜日本カード情報セキュリティ協議会

PCI DSSとは

加盟店やサービスプロバイダにおいて、クレジットカード会員データを安全に取り扱う事を目的として策定された、クレジットカード業界のセキュリティ基準です。
Payment Card Industry Data Security Standardsの頭文字をとったもので、国際カードブランド5社(American Express、Discover、JCB、MasterCard、VISA)が共同で設立したPCI SSC(Payment Card Industry Security Standards Council)によって運用、管理されています。

PCI DSSの認定を取得するメリット

PCI DSS遵守により、企業価値（信用、ブランド）の向上はもちろんのこと、これまでの個人情報保護制度と違い、より具体的にセキュリティポリシーを定義されることにより、現実的にハッカーやクラッカー等による様々な不正アクセスからお客様のサイトを保護し、サイトの改ざんや悪用、情報盗用などのリスクを低減します。
また、ＰＣＩＤＳＳを推奨する国際５ブランドの一つビザ・インターナショナルでは、加盟店等からカードに関する情報が流出して不正使用された場合、その加盟店がPCI DSSに準拠していれば、その管理責任のあるカード会社(アクワイアラ)に求められる損害の補償の義務が免責されます。

2017/7/19(水) 、弊社代表の堀川がロックオン社主催のクレジットカード情報の非保持化対応セミナーで登壇致しました。
クレジットカード情報の非保持化対応全国無料セミナー＆相談会に、弊社代表の堀川が相談先として参加して参りました
 https://www.thank-u.net/blog/eccube/card_security_seminar/

投稿者プロフィール

OSAMU HORIKAWACEO: 関西大学卒業後、東証プライム上場企業ゼネコンにて人事総務業務に従事。
幼少よりモノ作りが好きだったこともあり、「モノを作る仕事がしたい」という思いからシステムベンダーへ転職。

システムベンダーでは、IBMオフコンAS400で金融、物流、販売管理、経理、人事総務などのシステムを開発。
台北に駐在し遠東國際商業銀行のシステム構築プロジェクトへの参画など貴重な経験を積む。
10年間で、プログラマ、SE、プロジェクトリーダー、プロジェクトマネージャーを務め、「システムの質は要件定義の質に比例する」と学ぶ。

その後、クレジット決済代行会社にヘッドハンティングされる。
決済システムの再構築、国内外の銀行システムとの接続、クライアントの会社サイト制作・ECサイト構築を行う。
一方、組織改革を任され、20名から60名へ会社規模を拡大させる。（退任時役職：常務取締役）

2008年クリエイティブチーム・サンクユーを立ち上げ、2010年に法人化し株式会社サンクユーを設立。

クライアントの業界、取扱商材、ターゲット顧客を理解・分析することで、結果が出るWEBサイトを制作することを得意とする。
また、ECサイト構築・運営への造詣も深く、NTTレゾナント株式会社が運営するgoo Search Solutionでコラムを執筆。
ECマーケティングレポート | goo Search Solution

■趣味・好きなもの
BMW / WRC / ロードバイク / RIZIN / Bellator / UFC
David Bowie / blur / MUSE / TheRollingStones / XTC
機動戦士ガンダム(ファースト) / 富野由悠季
ベルセルク / 頭文字D / 進撃の巨人 / ジョジョの奇妙な冒険 / あしたのジョー
Mission: Impossible / Memento / ワイルド・スピード / ソナチネ
LOST / Game of Thrones / FRINGE / The Mentalist
上岡龍太郎 / ダウンタウン