• 決済
  • 連載第26回
  • 2016/9/27
  • 連載EC決済のイマとミライ

EC加盟店は要注意!2018年3月までにPCI DSS準拠もしくはカード情報非保持が必要に

S

昨今、EC加盟店からカード情報が漏洩する事件が相次いでいます。また、大手から中小まで規模を問わず漏洩しているため、カード決済を導入されている加盟店は情報セキュリティ対策を意識しなければなりません。経済産業省および日本クレジット協会が2016年2月23日に公表した「クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画」では、2018年3月末までにデータセキュリティ基準の「PCI DSS(Payment Card Industry Data Security Standard)」準拠もしくはカード情報非保持化(非通過型)への対応を求めています。今回は、同内容のポイントについて、紹介します。

PCI DSSへの準拠はコストなども含めて、ハードルが高い
多くの加盟店はカード情報非保持の運用が求められる

まず、PCI DSSは、クレジットカード等の国際ペイメントブランドが発行するカードの会員データを安全に取り扱う事を目的として策定されたデータセキュリティ基準です。カード情報を「伝送」「処理」「保持」するすべての企業が準拠を求められます。つまり、リアル加盟店、EC加盟店、カード会社、弊社のような決済サービス事業者などが対象となります。

実際、弊社・ネットプロテクションズでもPCI DSSに準拠しましたが、基準への対応は非常に厳しいセキュリティレベルが要求されました。PCI DSSはカード情報が漏洩しないように、他のシステムとの分離を求めており、6つの項目と、ネットワーク、ソフトウェア、ポリシー、プロシージャ、セキュリティマネジメントなどに関する基準が、12要件として規定されています。たとえば、ネットワークおよびアプリケーションのペネトレーション・テストの実施、セキュリティパッチリリース後の1カ月以内の適用など、事細かい要件が具体的に記載されています。そのため、対応するためのコストやノウハウが必要です。国内でもヤフーや楽天、ニフティ、ソネットエンタテインメント、NECビッグローブ、DMM.comなどがPCI DSSに準拠されていますが、運用面への負荷を考えると、カード情報の非保持化が現実的だと思われます。

カード情報を保持しなくてもカード情報漏洩事件が発生?
「保持」に加え、「伝送」「処理」を行わない運用が重要に

近年では、カード情報を保持しないリンク型の採用やモジュール型でもカード情報を保持しない運用が見られます。

決済時に自社ではなく、決済代行事業者のサーバに遷移して決済を行うリンク型を採用すれば、同実行計画を満たすことが可能です。なぜなら、「伝送」「処理」「保持」のいずれも自社のサーバで行われないからです。

一方、自社のサーバにモジュールを組み込むタイプ(モジュール・プロトコル型)の場合、自社でカード情報を保持するタイプ、決済処理した後に保管は決済代行事業者に任せるケースがあります。この2つはいずれもPCI DSSに準拠しなければなりません。まず、決済後に自社で「保持」する場合、当然、カード情報を守るためのセキュリティ対策が必要となり、PCI DSSに準拠しなければならないのはおわかりでしょう。

また、モジュール型で決済後に決済代行事業者に預けるタイプであれば、「保持」はしませんが「伝送」や「処理」は行われるため、PCI DSS準拠の対象となります。例えば、ショッピングカートやECサイト構築システムの脆弱性を突かれ、外部からの不正アクセスやマルウェア等により自社のWebサーバに悪意あるプログラムを仕込まれた場合、「伝送」や「処理」の段階で「通過」するカード情報を窃取されるリスクがあるからです。

2012年5月31日、日本クレジット協会と経済産業省と「日本におけるクレジットカード情報管理強化に向けた実行計画」を発表しましたが、当時の実行計画ではPCI DSS準拠もしくはクレジットカード情報非保持への対応がうたわれていました。同実行計画に遵守してPCI DSSに準拠したEC加盟店は少なく、効果があったとは言えませんでしたが、実際にはカード情報を「保持」せず、「伝送」や「処理」のみを行うEC加盟店からも2010年以降、複数の不正利用が発生しているため、同計画の内容自体にも問題があるものとなりました。

 

決済代行事業者のベリトランスはEC事業者の対応についてチャート図を紹介。自社の対応について確認できる

決済代行事業者のベリトランスはEC事業者の対応についてチャート図を紹介。自社の対応について確認できる

モジュールタイプからリンク型への切り替えが必要に
サーバのシステムログのチェックも忘れずに

古くからECサービスを行う通販会社などは、モジュールタイプを利用しているケースも多く、リンク型への切り替えか、PCI DSSの準拠が必要となります。また、近年では、htmlからJavaScriptへ変換してカード番号を送信するトークン機能を提供する決済代行事業者も存在します。同サービスを利用すれば、カード情報を別の乱数に置き換え、カード番号の漏洩を防止することにもつながります。

なお、これからECサイトを構築する新規のEC加盟店についても、非通過型の決済システムの導入を推奨し、仮に通過型のサービスを導入する場合は、カード情報を「保持」することになるため、PCI DSS準拠を求めることとしています。仮にカード情報を決済代行事業者に預ける場合には、PCI DSSの中でもQSA(認定審査機関)による厳しい審査をパスした「PCI DSS Level1」を取得した決済代行事業者に預けることをお勧めします。なぜなら、カード情報を預けた決済代行事業者からカード情報が漏洩しては、意味がないからです。

最後に、決済システムへの対応と共に、自社のシステムにカード情報が残っていないかというログの確認についてもお忘れなく。カード情報を決済代行事業者に預けた後も、Webサーバなどにログが残っているケースが少なからず見受けられます。使用しないカード情報を含め、早急にシステムログ等の消去を行いましょう。

著者紹介

秋山 恭平
  • 株式会社ネットプロテクションズ
  • マーケティング部
  • マネージャー
  • bnr_air
  • bnr_atobarai
  • bnr_frex

最近の投稿