2019.10.28

クレジット決済導入の前に!ECサイト運営者がすべき情報流出防止対策とは

5a78f16f9be9cf450663c58f5e76606b - クレジット決済導入の前に!ECサイト運営者がすべき情報流出防止対策とは

ECサイトは、エンドユーザーに直接商品やサービスを届けることのできる貴重な場です。
しかし、住所や氏名、クレジットカード情報を含む個人情報を取り扱わなければなりません。

そのため、ECサイト運営者には情報流出を防止するための厳しいセキュリティ対策が求められています。

そこで今回は、クレジットカード決済の導入にあたりECサイト運営者がすべき、情報流出の防止対策をご紹介します。

ECサイトの脆弱性をついた攻撃や、アカウントの乗っ取りなどから自社のECサイトを守るために、ぜひ最後までお読みください。

OSは常に最新バージョンを保つことで、情報流出の防止対策ができる!

ECサイト運営に用いているPCの全てのソフトウェアを最新の状態に保つことで、外部からの攻撃ポイントとなるシステム上の弱点をカバーすることができ、情報流出の対策を行うことができます。
また、公開された脆弱性に基づくハッキングやクラッキングの攻撃対象とECサイトがみなされることを防ぐことで、間接的に情報流出対策を行うことができます。

クレジットカード情報の非保持化をすると、ECサイトからの情報流出はない!

クレジットカードの非保持化とは、カード情報を「保持」「通過」しないことを示します。

ECサイト運営者は、この「クレジットカードの非保持化」を行うことで、情報流出防止の対策ができます。

決算代行会社のシステムを利用してクレジットカード決済を行っているECサイトは、決済代行会社によるクレジットカード情報非保持化のためのサービスを利用して、情報流出の対策をすることが可能です。

クレジットカード情報非保持化には以下のような2つの方式があります。

リンク型接続方式

決済代行会社のサーバ上にある決済ページに、利用者がクレジットカード情報を入力して決済をする方式です。
ECサイトから決済代行会社による決済画面へのリンクを接続するだけです。
クレジットカード情報を保持しないため、強固な情報流出の防止対策ができます。

トークン型接続方式

クレジットカード情報を、暗号化された文字列(トークン)に置換することにより、決済処理を行う方式です。
利用者のクレジットカード情報は、ECサイトのサーバを通過することなく、直接決済代行会社に送信されます。

ECサイト上にクレジットカード情報が存在しないため、ECサイトからの情報流出が起こり得ないという仕組みです。

PCI DSSに準拠して、情報流出の危険に備えをする!

PCI DSS(PCIデータセキュリティスタンダード/Payment Card Industry Data Security Standard)とは、クレジット業界における国際セキュリティ基準のことで、国際カードブランドであるAmerican Express、VISA、JCB、MasterCard、Discoverにより策定されています。

クレジット業界における国際セキュリティ基準とは、ざっくりいうと、クレジットカード情報の流出防止対策ができているかどうかを判断する基準です。

これに準拠することで、ハッカーやクラッカーからの攻撃から自社のECサイトを守ることができ、情報流出対策を行うことができます。
また、万が一クレジットカードの情報流出および不正利用が発生した際にも、PCI DSSに準拠したECサイトを運営する事業者は、クレジットカード会社からのペナルティーが免責されることがあります。

PCI DSSの認定取得方法は3種類!

PCI DSSの認定取得には3種類の方法があり、店舗やECサイトのクレジットカード情報の取り扱い規模により認定取得方法が異なります。

1.訪問審査

PCI国際協議会の認定する審査機関「QSA(Qualified Security Assessor)」による訪問審査を受けることで、認証を取得できます。
クレジットカード情報を大量に扱う店舗やECサイトの事業者に課されます。

2.サイトスキャン

PCI国際協議会による認定を受けたベンダー「ASV(Approved Scanning Vendor)」のスキャンツールを用いて、四半期に1回以上の点検をクリアしてECサイトに脆弱性のないこと(情報流出の対策が万全であること)を証明することで、認証を取得できます。

脆弱性とはハッカー対策やクラッキング対策などの、情報流出に繋がる攻撃への対策ができていない状態を指します。
クレジットカード情報の取り扱い規模が中程度、およびインターネット接続を行っている店舗やECサイトの事業者に課されます。

3.自己問診

PCIDSS要請事項に基づくアンケートに回答して、すべての項目をクリアできれば、認証を取得できます。

PCIDSS要請事項に基づくアンケートとは、ざっくり言うとECサイトが情報流出を防止するための対策を行っているかどうかを計るためのものです。

クレジットカード情報の取り扱い規模が小さい、一般加盟店やECサイトなどの事業者に課されます。

セキュリティサービスに申し込む

情報流出の対策が行えていることを認定する「PCI DSSに準拠」の認定を受けるためには、専門的な知識や多くの費用や工数が必要です。
そのため、自社でPCIDSS準拠の情報流出対策に対応するというのは、中小ECサイトにとって困難です。

そこで、中小ECサイト運営者は、クレジットカード決済をPCIDSS準拠事業者に委託して、情報流出に対する姿勢を確立する方法がおすすめです。

 PCI DSS準拠訪問評価機関による準拠コンサルティングとは?

PCI DSS評価機関(QSA)による、準拠サポートを受けることができます。

PCI DSS基準準拠に向けた初期段階の現状整理・GAP分析のコンサルティングや、オンサイト評価までを頼めます。

 PCI DSS準拠のキュリティ機能・セキュリティ運用サービスとは?

PCI DSS準拠のために必要な、セキュリティ機能およびセキュリティ運用をすべて委託することができます。

ECサイト運営者の、情報流出を防止するための対策における負担が、大幅に軽減されます。

セキュリティ対策を万全にしてECサイトを守ろう!

今回は、ECサイト運営者がすべき情報流出防止対策について紹介してきました。

自社にとって済代行業者が提供している情報流出の防止対策を行うサービスが必要か判断する材料となりましたでしょうか?

ECサイトの運営には、情報流出やセキュリティへの不安がつきものです。
コンピューターの専門的な知識や技術を持つセキュリティサービスに申し込むことで、情報流出対策を万全にし、ぜひ自社のECサイトを安全なものにしましょう!

この記事を書いた人

shibadai 300x300 - クレジット決済導入の前に!ECサイト運営者がすべき情報流出防止対策とは

編集部員 M・S

編集部員のM・Sまたの名を柴犬マニアの「シバー」と申します。 趣味は柴犬ウォッチング、特技はミックス犬の系統当てです。 「柴」の意味である「小ぶりな雑木」を手入れするように、いろんな情報を整理し、分かりやすくまとめます! 皆様のお役に立てる記事の作成に努めます。よろしくお願いします!

コンシェルジュに無料相談

あなたにぴったりな業者がみつかります

コンシェルジュに無料相談

お急ぎの方はこちら

0120-130-358受付:平日 9:00 - 18:00

関連記事

発注したいジャンルを選択する