follow us in feedly ブックマーク twitter Facebook

ECグロースラボ

2016.07.22 廣田 政智

E-コマース

セキュリティ向上対策 ~PCIDSSについて~

The following two tabs change content below.

廣田 政智

ダイヤモンドルースの卸売りを経てGMOペイメントゲートウェイ入社。現在は、大手サービス業種を中心に、旅行・ホテル・チケット・保険業界のお客様を担当。イノベーション・パートナーズ本部所属。

最新記事 by 廣田 政智 (全て見る)

みなさんどうも。今回は「ブランドに惑わされない本当に質の良いダイヤモンドの選び方」についてお話しようと思ったのですが、ECとは全然関係ないということで、最近よくお問合せを頂くPCIDSSに関して、ご案内いたします。

昨今、ECサイト上でのセキュリティ関連で、PCIDSSという言葉をよく耳にすると思います。既存加盟店様からも新規のお客様からも、「一体何をすれば良いのか?」というお問合せを頂くことも多く、本紹介を機に、皆様のビジネスの成長に少しでも寄与できればと思っております。

■PCIDSSとは

加盟店やサービスプロバイダにおいて、クレジットカード会員データを安全に取り扱うことを目的として策定された、クレジットカード業界のセキュリティ基準です。

Payment Card Industry Data Security Standardsの頭文字をとったもので、国際カードブランド5社(American Express、Discover、JCB、MasterCard、VISA)が共同で設立したPCI SSC(Payment Card Industry Security Standards Council)によって運用、管理されております。
出典:日本カード情報セキュリティ協議会
http://www.jcdsc.org/pci_dss.php

簡単に申しあげますと、「クレジットカード情報を扱う事業者は準拠して下さいね」といった内容になります。ISMS等をイメージして頂くと分かり易いかと思います。

■なぜ今、PCIDSSが話題なのか?

EC事業者様からしたら、なぜ今になって世間がPCIDSSと騒いでいるのか、という疑問があるかと思います。事の発端としては、経済産業省とクレジット取引セキュリティ対策協議会が平成28年2月23日に公表した下記内容が挙げられます。

1.  経産省HP
http://www.meti.go.jp/press/2015/02/20160223005/20160223005.html

2. JCAの実行計画
http://www.j-credit.or.jp/download/160223a2_news.pdf

概要としては、2018年3月までにEC事業者はクレジットカード情報の完全非保持を実現しなければならず、ここでいう非保持の定義は非通過も含んでおり、加盟店様はカード情報の「処理・伝送・保持」を止めて下さい、という内容になっております。
また、上記に則して運用しない場合は、PCIDSSに準拠して下さい、という内容も記載されております。

また、背景としては、下図の通り、近年クレジットカード取引の不正被害が増加しているということ、さらに、オリンピック開催に向けインバウンドの決済需要が高まる中、海外からの不正アクセスが多発する可能性があり、国を挙げて不正対策に取り組む必要があるということが挙げられております。
1

■カード情報非保持の定義とは?

・元々の非保持の定義
 ⇒先の経済産業省の発表以前は、非保持の定義として、カード情報は保持さえしなければOKであり、加盟店様はPCIDSSを取得している決済代行会社にカード情報を預ければ事足りる、といった状況でした。
 
・現在の非保持の定義
 ⇒しかし、今回新たな発表を経て、非保持の定義の中に非通過(処理・伝送をしない)も加わりました。
 それに伴い、加盟店様がカード情報非通過を実現するためには、「リダイレクト(リンク)型の決済」「Java Scriptを使用した非通過型」を、サイト構築の際に選択する必要が出てきました。

※JCAの実行計画の中に明記されております。ご参考までに
http://www.j-credit.or.jp/download/160223a2_news.pdf
P10~12(「非通過」型非保持の推進について)
 

■まとめ

 2
 

■では、一体何をすれば良いのか?

ここまで読んで頂きますと、一体この先どうなってしまうのかと不安に思う加盟店様もいらっしゃるかと思います。

しかし、安心してください。非保持・非通過は可能ですよ。

我々は加盟店様の「セキュリティ向上施策」として、様々なソリューションをご用意しております。

●ソリューション① リンク型決済
 ⇒セキュリティ向上にむけて、弊社のリンク型をご利用下さい。

リンクタイプは、決済画面から弊社のサーバに移行しますので、カード情報の処理・伝送・保持は、全てPCIDSS取得済の弊社側で行われます。これにより、サイト構築の際に手間をかけることなく、完全な非保持・非通過が可能でございます。

ただし、ドメインが弊社になり、決済画面の遷移も弊社に依存してしまうので、UI向上のために、独自の決済画面を構築される加盟店様は、②トークン決済でご対応下さい。

●ソリューション② トークン決済
 ⇒セキュリティ向上にむけて、弊社のトークン決済をご利用下さい。

モジュールorプロトコル型で構築し、カード情報入力部分の裏にプログラムを埋め込んで頂きますので、決済画面遷移は貴社独自の状態で、非保持・非通過が可能となります。
   3
    ※カード情報入力部分にJavaScriptによるプログラムを埋め込んで頂きます。
 
 
●ソリューション③ セキュリティセミナーの開催
 ⇒弊社開催のセキュリティセミナーにご参加下さい。

セキュリティ向上とPCIDSSに関して、もっと詳しく聞きたいという加盟店様は、弊社が開催しております、セキュリティセミナーに参加されてはいかがでしょうか。
   https://www.gmo-pg.com/seminar/160525/
 
現時点(6/27)で、計4回のセミナーを開催しました。加盟店様のご要望も多く、今後も7月、9月とセミナーを開催していく予定でございます。

●ソリューション④ セキュリティコンサル会社のご紹介
 ⇒PCIDSS取得をご検討の際は、弊社にお声掛け下さい。

加盟店様によっては、クレジットカード取扱件数の多さから、PCIDSSを取得する必要がある場合もございます。その際には、PCIDSS取得に向けて専門のコンサルティング会社の存在が必要不可欠になってまいりますので、ご紹介させて頂きます。

■まずはお問い合わせください!

弊社ではこのように、決済だけでなく、決済に付随する様々なソリューションを提供しております。また、業種業態に応じてチームを分けておりますので、その業界に則した多数の事例をもとに、決済+αのご提案ができることを強みにしております。

まずはお問い合わせ下さい。今後も皆様方のお力になれるよう、社員一同、誠心誠意ご対応させて頂きます。

※また、婚約指輪用にダイヤモンドをお探しの方は、個別にお問合せ下さい(笑)
ダイヤモンドの正しい選び方につきまして、元卸の観点からアドバイスいたします。