予約システムでも注意！2018年3月までにクレジットカード決済のセキュリティ対策を

クレジットカードが普及し、買い物や予約の事前決済でもあたりまえのように利用できるようになりましたが、それに伴って不正利用の犯罪や情報漏洩などの事故も増加しています。

そのような状況の中、経済産業省が中心となり、クレジット取引セキュリティ対策協議会から、クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画が発表されました。

実行計画には、EC事業者などの非対面決済をおこなう事業者が2018年3月までに対応をおこなわなければならない事項が含まれていますので、予約システムで事前決済、クレジットカード決済を利用している場合は対応が必要になります。

今回は実行計画の内容と2018年3月までに取り組まなくてはならないセキュリティ対策について説明します。

実行計画の中身（要約）とEC事業者に求められる対応

クレジットカード取引におけるセキュリティ対策の強化に向けた「実行計画」は大きく3つの柱から成り立っていますので、一度は必ず目を通していただくことをおすすめします。

1. カード情報の漏えい対策

カード情報を盗らせない
・加盟店におけるカード情報の「非保持化」
・カード情報を保持する事業者のPCIDSS準拠

EC事業者（非対面決済）事業者は2018年3月までに以下のいずれかの対応が必要となります。

・非通過型決済に移行する（推奨）
・ PCIDSSに準拠する

既にクレジットカード決済を利用している場合は、これ以外に「システムログ等にカード情報を含む決済情報の有無を確認し、有りの場合は至急消去する」の対応も必要となります。

実行計画では、加盟店における機器・ネットワークにおいて、カード情報を保存、処理、通過しないことを「非保持」として定義しています。

この「非保持」を実現するために、非通過型決済への移行が強く推奨されているという内容になります。

通過型決済と非通過型決済の違い

通過型決済というのは、カード情報がEC事業者側のサーバーを通過する方式です。

カード情報がEC事業者側のサーバーで保持されたり、通過することになるため、不正アクセスや盗聴などによる漏洩リスクが高くなります。

それに対して非通過型決済では、EC事業者側のサーバーを介さずに直接決済代行会社側に送信されるため、漏洩リスクを下げることができます。

非通過型決済にはトークン型とリンク型がある

トークン型は、購入者が入力するクレジットカード番号を、別の文字列（トークン）に置き換えて通信をおこなうことで、クレジットカード番号に触れることなく決済処理が可能な方式です。

リンク型は、クレジットカード決済時のみ決済代行会社側のサイトに遷移して、決済処理を行う方式です。

いずれの方式であってもEC事業者ではカード情報を保持したり、サーバーを通過することがありませんが、一般的にリンク型の方が導入コストが低くなるため、予約システムではこのタイプを採用している事業者が多くなります。

もう一つの選択肢「PCIDSSに準拠する」とは？

PCIDSS（Payment Card Industry Data Security Standard）とは、JCB・American Express・Discover・MasterCard・VISAの国際クレジットカードブランド5社が共同で策定した、クレジット業界におけるグローバルセキュリティ基準です。

PCIDSSには、

安全なネットワークとシステムの構築と維持
1.カード会員データを保護するために、ファイアウォールをインストールして維持する
2.システムパスワードおよびその他のセキュリティパラメータにベンダ提供のデフォルト値を使用しない

カード会員データの保護
3.保存されるカード会員データを保護する
4.オープンな公共ネットワーク経由でカード会員データを伝送する場合、暗号化する

脆弱性管理プログラムの維持
5.マルウェアに対してすべてのシステムを保護し、ウィルス対策ソフトウェアを定期的に更新する
6.安全性の高いシステムとアプリケーションを開発し、保守する

強力なアクセス制御手法の導入
7.カード会員データへのアクセスを、業務上必要な範囲内に制限する
8.システムコンポーネントへのアクセスを識別・認証する
9.カード会員データへの物理アクセスを制限する

ネットワークの定期的な監視およびテスト
10.ネットワークリソースおよびカード会員データへのすべてのアクセスを追跡および監視する
11.セキュリティシステムおよびプロセスを定期的にテストする

情報セキュリティポリシーの維持
12.すべての担当者の情報セキュリティに対応するポリシーを維持する