PCI DSS準拠、カード非保持化対応について
EC事業者は2018年3月までに「PCI DSS準拠」もしくは「カード情報の非保持化」への対応が必須事項となります
2017.02.16
PCI DSS準拠、カード非保持化に関して実際にはどのような対応が必要になるのか!?
PCI DSSへの準拠とはどのような対応が必要になるのか
PCI DSSとはクレジットカード会員情報や取引情報の保護を目的として制定されたクレジットカード業界のセキュリティ基準の事を指し
Payment Card Industry Data Security Standardを略して「PCI DSS」といいます。
クレジットカード5大ブランド、VISA、MasterCard、JCB、American Express、Discoverにより制定されました。
実際にEC事業者がPCI DSSへ対応するためには12の要件に対して準拠する必要があり、EC事業者には運用ルールの変更やシステム改修、インフラへの投資など大きな負担が強いられる事になります。
※上記表はPCIデータセキュリティ基準より引用させていただいております。
実際に多くのEC事業者で対応されるカード情報の非保持化
PCI DSSの準拠にはEC事業者に大きな負担化強いられることになるのは上記表で記載のとおりです。
では実際には多くの事業者がPCI DSSへの準拠ではなく、カード情報の非保持化を行うことになります。
カード情報の非保持化には大きく分けて2つの対応策があります。
1.リンク型決済の導入
2.トークン決済の導入
リンク型決済の導入
言葉の通り、カード情報の入力画面を自社のECサイト上で行うのではなく、契約している決済代行会社の専用画面で行う手法になります。
決済代行会社のPCI DSSに準拠した環境下でカード番号を入力させるため、セキュリティ上安心して利用できます。
また、決済代行会社の決済画面にリンクを飛ばすだけで済むので導入ハードルが低い点もポイントです。
導入も手軽で安心なリンク型決済ですが1番大きな問題点としてページ遷移の違和感、デザインの統一性が担保できない点が挙げられます。
EC-CUBEの場合、青が自社のECサイト画面、オレンジが決済代行会社のカード情報入力画面になります。
ユーザーはどうしてもECサイトで個人情報など必要情報を入力してから、カード番号を入力する画面は決済代行会社のページを遷移してくることになりデザインの統一感は出せず、違和感がでてしまいます。
また、決済代行会社のカード情報入力ページはデザイン性が高いといえるものが少なくそれも違和感を覚えるきっかけになり離脱率が高くなることが懸念されます。
上記の理由により比較的簡単に導入できるリンク型決済ですが、ユーザーの購入率が落ちることを気にして導入を躊躇する事業者が多くなる事が考えられます
カード情報非保持かつサイト内ページ遷移を実現できるトークン決済
トークン決済とはユーザーがカード情報入力時に入力したデータをトークンと呼ばれる別の文字列に置き換えて決済する手法。
トークン決済を利用することでカード情報の保存や通過がされることがない点と仮にこの置き換えられた文字列が漏洩したとしても、それ自体には何の意味も持たない文字列である為、その情報を用いて不正利用されるという事がありません。
また、リンク型決済のように決済代行会社カード情報入力ページへ遷移することがなく、ユーザーは自社のECサイト内でカード情報入力を行うことが可能になります。
EC-CUBEの場合トークン決済対応決済モジュールを導入することで比較的容易にトークン決済の導入が可能になります。
EC-CUBE向け決済モジュールでトークン対応はどれだけあるのか?
EC-CUBEでECサイトを運営している事業者の殆どがEC-CUBE用決済モジュールを導入しているかと思います。
上記で上げたトークン決済もその決済代行会社がEC-CUBE向けトークン決済対応モジュールを導入することで対応可能となります。
では実際にEC-CUBE向け決済モジュールでトークン決済対応はどれだけあるのでしょうか?
2017年6月27日付でEC-CUBE公式サイトより決済代行会社別EC-CUBE対応表が公開されました。
※詳細はこちらの表をご確認下さい。
2018年3月まで残すところ1年となりました。当社でも決済代行会社へのトークン決済対応を強く依頼していくことになりますが、EC事業者の皆さまも早め早めの意識と対応を心掛ける必要がありそうです。
