2023.01.31

ECサイトのPCI DSS準拠は大丈夫？EC事業者が急ぐべきセキュリティ対策を解説

タグ

ECサイトの決済手段の8割近くを占めるとされるクレジットカード。その不正利用について、日本クレジット協会発表の「クレジットカード不正利用被害の発生状況」によると、2021年時点で不正利用被害総額が330億円を超えています。EC事業者にとって、クレジットカードの不正利用は常に抱えているリスクであり、実効性の確かな対策を講じる必要があります。

経済産業省が主導する「クレジットカードに関するセキュリティ対応実行計画」では、EC事業者は「クレジットカード番号の非保持化」または、クレジットカード業界におけるグローバルセキュリティ基準「PCI DSSに準拠する」のいずれかに必ず対応しなくてはなりません。
本コラムでは、EC事業者が直ぐにでも取り組むべきセキュリティ対策について解説いたします。

01．3つのセキュリティ対応策

現在、以下の3つの対策に対応していない事業者は、改正割販法違反に該当するため早急に取り組む必要があります。

1：ECサイトにおける不正利用対策＝ネットでなりすましをさせない

・多⾯的、重層的な不正利用対策の導⼊

ECサイトにおけるなりすまし等の不正利用被害を最小化することを指します。

2：偽造カードによる不正利用対策＝偽造クレジットカードを第三者に使わせない

・クレジットカードの100% IC化の実現
・決済端末の100% IC対応の実現

クレジットカードおよび加盟店の決済端末をIC化することを指します。

3：カード情報の漏えい対策＝クレジットカード情報を第三者に盗ませない

・加盟店におけるカード情報の⾮保持化
・カード情報を保持する事業者のPCI DSS準拠

EC事業者にとって特に急がれるのがこの対策で、「カード情報の非保持化」または、「PCI DSSに準拠する」のいずれかが必須となります。

02．クレジットカード情報の非保持化

加盟店を対象に、カード情報を電磁的に送受信しないこと＝自社の機器・ネットワークにおいてカード情報を保存、処理、通過しないこと指します。ECサイトのクレジットカード決済には、カード情報がEC事業者のサーバを通過する通過型と通過しない非通過型があり、通過型は不正アクセスなどによる情報漏えいの可能性が高くなります。
クレジットカード決済には様々な手法（方式）があり、クレジットカード決済代行会社によって方式が異なり、大きく分けて以下の3つがあります。

（1）モジュール方式
（2）リンク方式
（3）トークン方式

（1）モジュール方式=通過型

モジュール方式では、カード情報がEC事業者側に渡るため、カード情報の非保持化は実現できません。リンク方式またはトークン方式に変更する必要があります。

（2）リンク方式=非通過型

クレジットカード決済時のみ外部サイト（決済代行事業者側のページ）へ遷移し、決済処理を行う方式です。EC事業者はカード情報を保持しません。リンク方式では、決済代行事業者の画面を使用（自社サイトと異なるドメインへ切り替わる）ため、カートでの離脱の心配があります。

（3）トークン方式=非通過型

カード情報を文字列（トークン）に置き換えて決済代行事業者への通信を行い、決済処理を行う方式です。EC事業者はカード情報を保持しません。決済画面内に情報入力フォームを埋め込んで、自社サイトドメイン内で決済を完結させることができます。
万一、トークン情報が漏えいした場合でも、トークン情報自体は意味を持たないため不正利用されるリスクがありません。トークン方式では、改正割販法の要件をクリアできますが、画面改ざんなどのセキュリティリスクを改善することはできません。

クレジットカード情報の非保持化においては、モジュール方式では非保持化を実現できず、リンク方式では非保持化を実現できるがカート離脱の心配があり、トークン方式では非保持化を実現できるが画面改ざんなどのセキュリティリスクの改善は望めない事情があります。

03．PCI DSSに準拠する

PCI DSSとは、国際カードブランド5社が共同で策定した、クレジットカード業界の国際セキュリティ基準です。PCI DSSは、安全なネットワークの構築やカード会員データの保護など、12の要件に基づいて約400の要求事項から構成されており、全てクリアする必要があります。
クレジットカード情報の保護に特化したセキュリティ規格で、要求されるレベルも高いことが特徴です。

PCI DSS準拠に掛かる費用は、規模感によって異なるものの、初期1,000万円、月額100万円を超えることも珍しくありません。EC事業者単独でPCI DSSを取得するためにはコストが高額で、開発に掛かる期間（1年程度が目安）が必要になるため、PCI DSSに準拠する方針であれば、いずれにしても早めに取り掛かる必要があります。

ECプラットフォームの利用

決済時の外部サイトへのリンク（カート離脱）は避けたい、決済画面にカスタマイズを入れたいが、PCI DSSを取得するのは難しい（現実的な選択肢とはならない）と考えるEC事業者には、PCI DSSに準拠したECプラットフォームを利用する方法があります。

PCI DSSに準拠したECプラットフォームの決済サービスを利用することで、カード情報の非保持化と同等（または相当する）セキュリティ措置を実現することが可能になり、実行計画が要求するセキュリティをクリアするができるので、今現在早急な対応が必要な場合や今後のセキュリティレベルの強化（維持）を踏まえて、ECプラットフォームの見直しやリプレイスを具体的に検討することが有効です。

04．まとめ

経済産業省が主導する「クレジットカードに関するセキュリティ対応実行計画」自体は法令ではありませんが、2016年に公布された改正割販法では、実行計画を遵守することが明記されており、実行計画を遵守していない場合は、改正割販法違反となります。現在でも対策がとれていないEC事業者が見られるのは、カード会社（アクワイア＝立替払取次業者）の許可を取って、改正割賦法対策への時間をもらって調整中であるのが実情です。

カード情報の入力で決済が完了できるクレジットカードは、ECサイトユーザーにとって使い勝手が良い一方、なりすましや不正利用が増加している今、万全のセキュリティ体制を築くことはEC事業者とって必要不可欠です。社会全体のキャッシュレス化が進む現在、今後もクレジットカード決済利用者はさらに増加することが予想され、EC事業者には早急な対策が求められています。