ECサイトの情報流出対策4選！クレジット決済導入前に済ませよう

決済代行会社を利用すれば、簡単にECサイトにクレジットカード決済を導入でき、実店舗を持たずとも商品を販売できます。
しかし、ECサイトは顧客の個人情報やカード情報を扱うため、情報流出を防止するためのセキュリティ対策が必要です。

そこで今回は、ECサイト運営者が行うべき、情報流出の防止対策をご紹介します。
ECサイトにクレジットカード決済を導入したいとお考えの方は、ぜひ最後までお読みください。

情報流出対策①サイト運用に用いるPCは常に最新バージョンのOSに

まずはシステムの弱点をできるだけ作らないことが大切です。
そのため、ECサイトの運用に用いるPCのOSを最新のものにし、ソフトウェアも都度アップデートしておくことは欠かさずに行いましょう。

ソフトウェアを最新の状態に保つことで、外部からの攻撃ポイントとなるシステム上の弱点をカバーすることができ、情報流出の対策を行うことができます。
また、ECサイトがハッキングやクラッキングの攻撃対象とみなされることを防ぐことで、間接的にも情報流出の対策を行うことができます。

情報流出対策②クレジットカード情報の非保持化を行う

クレジットカードの非保持化とは、カード情報をサーバー内に「保持」および「通過」しないことを示します。

ECサイト運営者は、この「クレジットカードの非保持化」を行うことで、情報流出防止の対策ができます。

決済代行会社のサービスを使ってクレジットカード決済を導入するだけでも顧客のカード情報を守ることができ、情報流出の対策が可能です。

クレジットカード情報の非保持化を行っている決済代行会社サービスには以下のような２つの方式があります。

リンク型接続方式

ECサイトから、決済代行会社のサーバー上に用意された決済画面をリンクする方式です。
決済代行会社が用意したページのため、強固な情報流出の防止対策ができます。

トークン型接続方式

ECサイトに特殊なプログラミングを行うことで、入力されたカード情報が決済代行会社へ直接送信されるという仕組みです。

クレジットカード情報を、暗号化された文字列（トークン）に置換することにより、情報が守られます。
また、入力された情報はECサイトのサーバを通過することなく、決済代行会社に直接送信されるため、サイト内にカード情報が留まることがありません。

ECサイト上にクレジットカード情報が存在しないため、ECサイトからの情報流出が起こり得ないという仕組みです。

情報流出対策③PCI DSSに準拠したサイトを構築する

PCI DSS（PCIデータセキュリティスタンダード/Payment Card Industry Data Security Standard）とは、クレジット業界における国際セキュリティ基準のことです。
国際カードブランドであるAmerican Express、VISA、JCB、MasterCard、Discoverにより策定されています。

クレジット業界における国際セキュリティ基準とは、ざっくりいうと、クレジットカード情報の流出防止対策ができているかどうかを判断する基準です。

これに準拠することで、ハッカーやクラッカーの攻撃から自社のECサイトを守ることができます。
また、万が一クレジットカードの情報流出および不正利用が発生した際にも、PCI DSSに準拠したECサイトを運営する事業者は、クレジットカード会社からのペナルティーが免責されることがあります。

PCI DSSの3つの認定取得方法

PCI DSSの認定取得には３種類の方法があり、店舗やECサイトのクレジットカード情報の取り扱い規模により認定取得方法が異なります。

1.訪問審査

PCI国際協議会の認定する審査機関「QSA（Qualified Security Assessor）」による訪問審査を受けることで、認証を取得できます。
クレジットカード情報を大量に扱う店舗やECサイトの事業者に課されます。

2.サイトスキャン

PCI国際協議会による認定を受けたベンダー「ASV（Approved Scanning Vendor）」のスキャンツールを用いて、四半期に1回以上の点検をクリアしてECサイトに脆弱性のないこと（情報流出の対策が万全であること）を証明することで、認証を取得できます。

脆弱性とはハッカー対策やクラッキング対策などの、情報流出に繋がる攻撃への対策ができていない状態を指します。
クレジットカード情報の取り扱い規模が中程度、およびインターネット接続を行っている店舗やECサイトの事業者に課されます。

3.自己問診

PCIDSS要請事項に基づくアンケートに回答して、すべての項目をクリアできれば、認証を取得できます。

PCIDSS要請事項に基づくアンケートとは、ざっくり言うとECサイトが情報流出を防止するための対策を行っているかどうかを計るためのものです。

クレジットカード情報の取り扱い規模が小さい、一般加盟店やECサイトなどの事業者に課されます。

情報流出対策④セキュリティサービスに申し込む

情報流出の対策が行えていることを認定する「PCI DSSに準拠」の認定を受けるためには、専門的な知識や多くの費用や工数が必要です。
そのため、自社でPCIDSS準拠の情報流出対策に対応するというのは、中小ECサイトにとって困難です。

そこで、中小ECサイト運営者は、クレジットカード決済をPCIDSS準拠事業者に委託して、情報流出に対する姿勢を確立する方法がおすすめです。

セキュリティサービスは、大きく分けて2種類あります。

 PCI DSS準拠訪問評価機関による準拠コンサルティング

PCI DSS評価機関（QSA）による、準拠サポートを受けることができます。

ECサイトの現状整理などのコンサルティングや、審査通過のためのアドバイスを受けられます。

 PCI DSS準拠のキュリティ機能・セキュリティ運用サービス

PCI DSS準拠のために必要な、セキュリティ機能およびセキュリティ運用をすべて委託することができます。

ECサイト運営者の、情報流出を防止するための対策における負担が、大幅に軽減されます。

情報漏洩を防ぎ、顧客が安全に使えるECサイトを作ろう

今回は、ECサイト運営者がすべき情報流出防止対策について紹介してきました。
自社のECサイトに必要な対策がご理解いただけたでしょうか？

クレジットカード決済の導入には、ECサイトの審査があります。
審査通過のためにはきちんとセキュリティ対策を行っていることが不可欠ですので、一度で通過となるように万全の準備を行いましょう。

EMEAO!では、ECサイトへのクレジットカード決済の導入に強みをもつ決済代行会社を無料で紹介しています。
第三者機関の審査を通過した優良業者のみを扱っていますので、セキュリティの面でもご安心いただけます。
ECサイトの運用をお考えの方は、どうぞお気軽にお問い合わせください！