ECサイト事業者様は2018年3月までにクレジットカードのセキュリティ対策が必要です

ECサイトにおいてクレジットカード決済は、インターネット取引の特徴である「便利」「即時処理」「スピーディー」のすべてを叶える決済手段です。
その為、現在のECサイトには欠かせない決済手段のひとつとなっています。

その一方で、クレジットカードの利用が増えるに従い、カード情報漏洩や偽造カードなどによる不正使用も増加しています。
それにより、クレジットカード取引の安全性、およびクレジットカード利用者の信頼性の向上を図る為に、不正使用問題に取り組むことが緊急の課題となっています。

ちなみに、日本クレジット協会の調査によると、クレジットカード不正使用被害の発生状況は、2014年の113.9億円に対して2015年は120.0億円と増加傾向にあります。
（2017年1月時点で、2016年の調査結果は報告されていません）

そこで、2020年オリンピック東京大会の開催等を踏まえ、国際水準のクレジットカード取引のセキュリティ環境を整備する為、2016年4月に経済産業省による「クレジットカード取引におけるセキュリティ対策の強化に向けて」という実行計画が発表されました。

実行計画の概要は以下となっています。

１）カード情報の保護について
カード情報の適切な保護の観点から、2020年までに、加盟店のカード情報を非保持化する取組を進めるとともに、保持する事業者等にはPCI-DSS（データセキュリティの国際規格）への準拠を進めます。

２）カード偽造防止対策について
2020年までに、クレジットカード及び加盟店の決済端末の「IC対応化100%」を実現します。そのため、IC取引時のオペレーションルールの策定や、POSシステムにおけるIC対応の低コスト化等を進めます。

３）ECにおける不正利用対策について
ECにおけるなりすまし等の不正使用被害を最小化するため、2018年までに、EC加盟店において多面的・重層的な不正使用対策を導入します。

2018年までに、ECサイト事業者様が対応すべき対策は以下のいずれかとなります。

1. クレジットカード情報の非保持化
2. PCI-DSS準拠

1.クレジットカード情報の非保持化
「クレジットカード情報の非保持化」とは、ECサイト上でクレジットカード情報の入力・保存をしない仕組みを導入する必要があります。
これは、クレジットカード決済代行会社がカード情報非保持化の為に仕組みを提供していますので、利用中のクレジットカード決済代行会社に技術仕様を確認の上、導入して下さい。

2.PCI-DSS準拠
「PCI-DSS準拠」とは、クレジットカード業界における国際セキュリティ基準のPCI-DSSに準拠したシステム、及び運営を構築することを指します。
PCI-DSSとは、国際カードブランド5社(American Express、Discover、JCB、MasterCard、VISA)が策定、運用されているクレジットカード業界のセキュリティ基準です。

「クレジットカード情報の非保持化」と「PCI-DSS準拠」のいずれかに対応すれば良い訳ですが、PCI-DSSはかなり厳しい要件があります。その為、準拠するにはかなりの時間と費用を要しますので、「クレジットカード情報の非保持化」の方がEC事業者様の負担は軽いです。
クレジットカード決済代行会社とシステム開発会社にご相談の上、お早めに対応することをお勧めします。