クレジットカード情報の保持はNG?知らないでは済まされないクレジットカードのセキュリティ対策

セキュリティ

当コラムでもご紹介したように、最近では特にクレジットカード情報の流出事故や不正利用が増えています。
そうした中で、経済産業省からEC(インターネットショップサイト)事業者へ対してクレジットカード情報のセキュリティ対策の指針が発表されました。
簡単に言うと「クレジットカード情報を扱うのであれば高いセキュリティレベルを守りなさい」という指針です。
 
2018年4月から適応されているので、既に対応している企業・事業者が多いのではないかと思います。

EC(インターネットショップサイト)でクレジットカード決済を提供している企業・事業者の方で、この話がピンときていない方。
かなりマズイです……。
何がマズイのか、どうすれば良いのか、について簡単に整理しましたのでご一読頂ければ幸いです。
 
 

クレジットカードのセキュリティ対策

経済産業省が発表したセキュリティ指針によると、2018年3月末までに下記のいずれかの対応を求められています。
①クレジットカード情報の非保持化
②PCI DSSの準拠
 
簡単に言うと、
①→基本的にはクレジットカード情報は持つな
②→どうしてもクレジットカード情報を持ちたいなら一定レベルの審査をクリアできるくらいセキュリティのレベルを高くしなさい
ということです。
 

①クレジットカード情報の非保持化

非保持化とは、自社のECサイト・システム上でクレジットカードの情報が「保存」「処理」「通過」されない状態のことを指しています。
ここで気を付けるべきポイントは「処理」「通過」でもNGということです。
例えば、クレジットカード決済代行会社の決済サービスを使っていた場合、自社でクレジットカード情報を「保存」していないため、問題ありません。
しかし、下記のようなケースではNGです。

  • 決済サービス側からクレジットカード情報を受け取って自社ECサイト・システム側で何かしらの処理をしている
  • 決済サービスとは別の外部サービスへクレジットカード情報を渡すため、自社システムを経由してクレジットカード情報を連携している

 

②PCI DSSの準拠

「PCI DSS(Payment Card Industry Data Security Standard)」とは、個人情報保護のために策定された国際的な基準のことです。
PCI DSSに準拠するためには、約400項目をチェック項目に遵守し、審査をパスする必要があり、仮に99%のチェック項目を満たしていても、1%の項目に不備があると完全準拠とみなされないという厳格な審査です。
もしクレジットカード情報を「保持」「処理」「通過」する場合には、この高いセキュリティレベルをクリアしなければなりません。
当然ですが、決済代行会社などクレジットカード情報を扱う会社のシステムはPCI DSSに準拠しています。
 
 

守らなかった場合に罰則はあるのか?

2018年6月現在では、罰則は規定されていません。
ただし、これらを守らないということは会社として信用力の低下に繋がり、結果的に顧客離れ(売上低下)に繋がるリスクがあります。
また、最悪のケースでは、クレジットカード情報が流出してしまい、顧客からの信頼を失うだけでなく、カードブランド会社から多額の賠償金を課せられる可能性もあります。
このように大きなリスクを追うことになりますし、今後罰則が規定される可能性も十分にあります。
そのため、いち早く「①クレジットカード情報の非保持化」または「②PCI DSSの準拠」を守る必要があります。
 
 
そもそも自分の会社・事業は該当するのだろうか?
対応しなければいけないことは分かったけれど、具体的にどうやって進めればよいのか……
こういった悩みがあれば、まずは一度お気軽にご相談いただければと思います。
 

一覧を見る>

最近の活動・コラム