予約システムでも注意!2018年3月までにクレジットカード決済のセキュリティ対策が必要です

クレジットカードが普及し、買い物や予約の事前決済でもあたりまえのように利用できるようになりましたが、それに伴って不正利用の犯罪や情報漏洩などの事故も増加しています。

そのような状況の中、経済産業省が中心となり、クレジット取引セキュリティ対策協議会から、クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画が発表されました。

実行計画には、EC事業者などの非対面決済をおこなう事業者が2018年3月までに対応をおこなわなければならない事項が含まれていますので、予約システムで事前決済、クレジットカード決済を利用している場合は対応が必要になります。

今回は実行計画の内容と2018年3月までに取り組まなくてはならないセキュリティ対策について説明します。

実行計画の中身(要約)とEC事業者に求められる対応

クレジットカード取引におけるセキュリティ対策の強化に向けた「実行計画」は大きく3つの柱から成り立っていますので、一度は必ず目を通していただくことをおすすめします。

1. カード情報の漏えい対策

カード情報を盗らせない
・ 加盟店におけるカード情報の「非保持化」
・ カード情報を保持する事業者のPCIDSS準拠

EC事業者(非対面決済)事業者は2018年3月までに以下のいずれかの対応が必要となります。

・ 非通過型決済に移行する(推奨)
・ PCIDSSに準拠する

既にクレジットカード決済を利用している場合は、これ以外に「システムログ等にカード情報を含む決済情報の有無を確認し、有りの場合は至急消去する」の対応も必要となります。

実行計画では、加盟店における機器・ネットワークにおいて、カード情報を保存、処理、通過しないことを「非保持」として定義しています。

この「非保持」を実現するために、非通過型決済への移行が強く推奨されているという内容になります。

通過型決済と非通過型決済の違い

通過型決済というのは、カード情報がEC事業者側のサーバーを通過する方式です。

カード情報がEC事業者側のサーバーで保持されたり、通過することになるため、不正アクセスや盗聴などによる漏洩リスクが高くなります。

それに対して非通過型決済では、EC事業者側のサーバーを介さずに直接決済代行会社側に送信されるため、漏洩リスクを下げることができます。

非通過型決済にはトークン型とリンク型がある

トークン型は、購入者が入力するクレジットカード番号を、別の文字列(トークン)に置き換えて通信をおこなうことで、クレジットカード番号に触れることなく決済処理が可能な方式です。

リンク型は、クレジットカード決済時のみ決済代行会社側のサイトに遷移して、決済処理を行う方式です。

いずれの方式であってもEC事業者ではカード情報を保持したり、サーバーを通過することがありませんが、一般的にリンク型の方が導入コストが低くなるため、予約システムではこのタイプを採用している事業者が多くなります。

もう一つの選択肢「PCIDSSに準拠する」とは?

PCIDSS(Payment Card Industry Data Security Standard)とは、JCB・American Express・Discover・MasterCard・VISAの国際クレジットカードブランド5社が共同で策定した、クレジット業界におけるグローバルセキュリティ基準です。

PCIDSSには、

安全なネットワークとシステムの構築と維持
1.カード会員データを保護するために、ファイアウォールをインストールして維持する
2.システムパスワードおよびその他のセキュリティパラメータにベンダ提供のデフォルト値を使用しない

カード会員データの保護
3.保存されるカード会員データを保護する
4.オープンな公共ネットワーク経由でカード会員データを伝送する場合、暗号化する

脆弱性管理プログラムの維持
5.マルウェアに対してすべてのシステムを保護し、ウィルス対策ソフトウェアを定期的に更新する
6.安全性の高いシステムとアプリケーションを開発し、保守する

強力なアクセス制御手法の導入
7.カード会員データへのアクセスを、業務上必要な範囲内に制限する
8.システムコンポーネントへのアクセスを識別・認証する
9.カード会員データへの物理アクセスを制限する

ネットワークの定期的な監視およびテスト
10.ネットワークリソースおよびカード会員データへのすべてのアクセスを追跡および監視する
11.セキュリティシステムおよびプロセスを定期的にテストする

情報セキュリティポリシーの維持
12.すべての担当者の情報セキュリティに対応するポリシーを維持する

引用:https://www.gmo-pg.com/security-compliance/pcidss/

という12の遵守要件が規定されており、これを満たすシステム、管理体制を新たに構築するには莫大な時間と費用(コスト)がかかります。

そのため、小・中規模のEC事業者や予約システムでクレジットカード決済機能を利用する事業者が「PCIDSSに準拠する」という選択肢は限りなく可能性が低いと考えられます。

2. 偽造カードの不正使用対策

偽造カードを使わせない
・クレジットカードの「100%IC化」の実現
・決済端末の「100%IC対応」の実現

クレジットカード及び加盟店の決済端末の「IC化」を実現するというものです。

スキミング対策や偽造カードの利用防止を目指す意図で、オンラインのECや予約システムで具体的な対策事項は今のところ明示されていません。

3. ECにおける不正使用対策

ネットでなりすましをさせない
・多面的・重層的な不正使用対策の導入

EC加盟店において多面的・重層的な不正使用対策の導入をおこない、なりすまし等の不正使用を防ぐものです。

具体的な対応事項の明言はされておらず、各決済代行会社からは、固定パスワードの漏えいリスクを踏まえ、新たな認証方法(ワンタイム(動的)パスワードや生体認証)の導入を促進することで、クレジットカードの不正利用防止につなげる提案が示されています。

予約システムでクレジットカード決済を利用する場合の注意点

実行計画でEC事業者に求められる対応は、予約システムの利用者(契約者)にも求められます。

予約システムでクレジットカード決済を利用している、またはこれから導入する場合は、以下の点を提供ベンダーに確認しておくべきでしょう。

  • 「カード情報の非保持」を実現しているか
  • 非通過型決済方式を採用しているか
  • 現在実現できていない場合、2018年3月までに対応予定はあるか

最後に

クレジットカード決済は、予約システムに「キャッシュレス」「無断キャンセル抑制」「支払業務の削減」というメリットをもたらしてくれる反面、セキュリティ対策を怠ると、情報漏洩や不正利用といった犯罪に巻き込まれるリスクを負うことになります。

2020年の東京オリンピックも間近に迫り、インバウンド(訪日外国人旅行客)向けビジネスで予約システムとクレジットカード決済を活用する場面も増えてくることが予測されます。

利用中のECシステムや予約管理システムなどで提供されるクレジットカード決済機能のセキュリティ対策状況をしっかりと見直し、2018年3月までに万全の体制を整えておきましょう。

関連記事:事前決済(クレジットカード決済)導入のメリット・注意点まとめ
関連記事:インバウンド(訪日外国人旅行客)向けビジネスで予約システムを活用する

クレジットカード決済機能に非通過型決済方式を採用している予約システムのご紹介