【取扱いには要注意】カード番号の「保存」「伝送」「処理」!

2015.07.28. by 河野祐太


こんにちは!3度目、河野です!

前回は、皆さんのサイトでの不正利用を防ぐ手立てとして、
「3Dセキュア」「セキュリティコード」を紹介しました!

※前回記事;
【ECにおける不正利用は事業者負担??】
意外と知らない方が多いECにおける不正利用対策!


 
今回は、ちょっと視点を変えて、不正利用の元にもなり得る顧客情報、
特に「カード番号」の取扱いに関してお話します!

近年の不正利用発生状況

そもそも不正利用ってどれぐらい発生しているのでしょうか。
下記のグラフをご覧ください。

不正
             ※NPO日本ネットワークセキュリティ協会「情報セキュリティインシデントに関する調査報告書」
             (2008~20012年)より、国内個人情報漏えいインシデントの概要を参考
          ※経済産業省「電子商取引に関する市場調査」(平成20年~24年)より、国内EC市場規模(BtoC)を抽出

 

図からも分かるとおり、EC市場の広がりと共に不正利用も増えてきている中、
ECサイトを運営される皆さんはカード番号の扱いをどう考えていけばいいのでしょうか。

 

ブログ
                                    (出典:Visa)

やはり実際のユーザさんの9割以上の方、特に女性が不正利用を心配に思っており、
更に発生後の対応策も把握できていないのが現状です。

 
EC事業社目線だと情報漏洩が発生してしまった場合、
こんな負担が想定されます。
 

  • 国際カードブランドからの罰金
  • カード再発行などのエンドユーザ保証
  • 風評被害によるブランド価値低下

 
こういったことが発生してしまう前に、
やはり「カード番号」の取扱いに関しては
再考する意味があるかと思います。

カード情報漏洩リスクの3大ポイント

カード情報の漏洩リスクにおいては、
大きく3つ、危険なフェーズがあります。
 

  1. 保存
  2. ・DBからSQLインジェクションで番号を抜き出される

  3. 伝送
  4. ・中間者攻撃で通信が傍受されたり、第三者のサーバに送信されたりする

  5. 処理
  6. ・処理部分に悪意のあるコードを仕込まれる可能性がある

 
決済代行会社を使うことで、カードの「保存」を避けることができ、
更に画面遷移型を利用することで「処理」「伝送」という
フェーズも省略することができます。
 
エンドユーザの利便性を考え導入が進んでいなかった中、
「自社サイト内の遷移」「カード番号に触れない」
運用を両立することができるようになりました!

トークン決済の登場

それが「トークン決済」です!

トークンとは、辞書通りの意味でいうと「引換券」といった意味ですが、
セキュリティにおいては「イミのない数列」といった捉え方で使われます。

具体的には、エンドユーザが入力したカード番号を異なる数列に置き換えることで、
皆さんにとってはカード番号に触れずに決済をすることができます!

 
トークン

 
今までにハードルだった画面の遷移はすることなく、
「伝送」「処理」のフェーズを省略し、
セキュリティレベルを高めることが可能です。
 

トークン決済を実装することでPCI DSSの準拠にも役立つ

上で紹介したトークン決済を利用することで、
「伝送」「処理」に関する要件への対応を省略することができるため、
セキュリティ基準である「PCI DSS」の準拠にも非常に役立ちます!

そもそもPCI DSSとは、カードビジネス事業社向けのセキュリティ基準です。
Payment Card Industry Data Security Standard

logo_01_thumb

海外では民間企業レベルでの取得も広がっていますが、
日本ではカード会社や決済代行会社の取得に留まっています。

今後、ECに更に力を入れていくにあたっては、
是非、頭の片隅に残して置いていただければと思います。

 
直近で弊社にてセミナーも行いますので、
ご興味ある方は是非ご参加ください!
 →お申込はこちら!
  pcidss_seminar_banner

まとめ

色々と紹介してきましたが、カード情報が漏洩してしまった場合は、
金銭等の定量的な負担だけでなく、風評被害等の定性的な負担も発生してきます。

「お金」「時間」がとてもかかる話です。

サイトのコンテンツや商品力はもちろん大事ですが、
実際にはユーザはサイトの安心感を非常に気にしています!

少しずつ!コツコツと!セキュリティ対策を進めていきましょう!
ではまた次回!

(※参考情報:当社調べECサイト利用実態調査
参考情報

The following two tabs change content below.
河野祐太

河野祐太

2013年GMO-PG入社後、イノベーション・パートナーズ本部にて、主に関東圏での大手物販企業様の営業を担当。約100社の既存クライアント様へのコンサルティングと、EC進出をご要望の新規クライアント様のお手伝いに従事。2015年秋より九州は福岡へ拠点を移し、山口県~沖縄県の通販企業様の更なるご活躍に力添えできるよう日々奔走中。

    
すべての人にインターネット
関連サービス