初心者でも理解できる!今更聞けない「セキュリティ用語」の意味を分かりやすく解説

決済代行サービスを利用する上で外せない項目のひとつが「セキュリティ」。
各社ホームページには必ずセキュリティに関する説明がありますが、セキュリティに関する専門用語って難しいことの方が多いですよね。
「“国際規格”という単語があればOK」なんて、無理矢理納得している方もいらっしゃるのではないでしょうか。

もちろん決済代行会社を利用した際に担当の方に聞くのもひとつですが、他の手続きがたくさんある中で時間をかけて聞くのもなかなか難しいですよね。

そこで今回は、よく聞くセキュリティに関する用語についての説明をわかりやすくまとめていきます。
セキュリティに関する用語は難しそうなものが多いですが、知っているのと知っていないのでは安心感が違います。ぜひチェックしてみてください。

これは知っていたい!「PCI DSS」とは?

決済サービスを提供している各社HPのセキュリティページで目にすることも多い「PDC DSS」という言葉の意味を知っていますか?
「よく分からないけど、なんとなく安全ってことだよね」と、意味を理解せずに納得しようとしている方もいらっしゃるのではないでしょうか。

「PCI DSS」とは、“Payment Card Industry Data Security Standard(ペイメントカード業界データセキュリティー基準)”の略で、2004年にVISA、MasterCard、JCB、American Express、Discoverの国際クレジットカードブランド5社が共同で設立した組織です。

「PCI DSS」には
①安全なネットワークシステムの構造と維持
②カード会員データの保護
③脆弱性を管理するプログラムの維持
④強固なアクセス制御手法の導入
⑤ネットワークの定期的な監視及びテスト
⑥情報セキュリティポリシーの維持

といった情報漏えいや不正アクセスを防止するための6つの目標があり、これらを達成するために12のセキュリティ要件が定められています。

「PCI DSS」には4つのレベルがあり、例えばレベル4ならばオンラインでの年間取引数が2万件未満または年間取引数の合計が最大100万件等、年間の取引数によってレベルが異なります。 気になる費用ですが、「PCI DSS」に準拠するためには初期費用は最低1,000万円以上、月額費用は最低100万円以上必要だと言われています。

知らずに使っているかも?「3Dセキュア」とは

「PCI DSS」と並んで「3Dセキュア」もよく聞くセキュリティ用語のひとつではないでしょうか。

「3Dセキュア」とは一言で言えば“本人認証サービス”のことで、現在国内ではVISA、MasterCard、JCB、 AMERICAN EXPRESSがサービスを提供中。

「3Dセキュア」の3Dは“イシュアドメイン、アクワイアラドメイン、相互運用ドメイン”の3つのドメインのことであり、この3つが連携し合うことでクレジットカードの不正使用トラブルを防ぐことが可能になります。

①イシュアドメイン
カード発行会社がカード利用者の本人認証をする
②アクワイアラドメイン
契約管理会社が加盟店の認証をする
③相互運用ドメイン
取引の仲介をする

具体的には、商品購入時にクレジットカード番号などクレジットカード登録に必要な基本情報を入力するだけでなく、本人しか知らないパスワードやメッセージを利用することで本人認証を行います。

また3Dセキュアはチャージバックの際などにもメリットがあります。
例えばカードの不正利用があった場合に消費者が代金支払いを拒否すると、クレジットカード会社は代金の売上を取消します。その際、加盟店はクレジットカード会社に商品代金を返金する必要があるため、加盟店にとっては損な状況となりますが、3Dセキュアを利用していることでクレジットカード会社からのチャージバック請求を軽減できることもあります。

個人情報を守る!SSL/TLS技術って?

「SSL(Secure Sockets Layer)」は、インターネット上で個人情報などのデータを暗号化し送受信することを指します。

例えば消費者が商品を購入した際、クレジットカード情報や住所や電話番号等の個人情報がそのままの形だと通信中の情報が第三者に盗み取られてしまう可能性があり、とても危険な状況となります。そのため、「SSL」を実装し情報を暗号化することで盗聴やなりすましを不正利用などが防止する必要があるのです。

さて、「SSL」は近年「SSL/TLS」表記されることが多くあります。
「TLS」はTransport Layer Securityの略であり、基本的には「SSL」と仕組みは一緒。SSLがバージョンアップを重ね3.0となり、その後、次のバージョンから「TLS」と呼ばれるようになりました。 つまり、「SSL」の脆弱性を解決して誕生したのが「TLS」ということです。
「SSL」の名称が広く知られているために、現在は「SSL/TLS」と表記されることが増えたようです。

2018年に義務化!クレジットカード情報の非保持化ってなに?

2018年6月1日に施行された「割賦販売法の一部を改正する法律」。

近年クレジットカード番号等の漏えい事件や不正使用被害が増加していることもあり、政府では
■ カード情報の漏えい対策(カード情報を盗らせない)
■ 偽造カードによる不正使⽤対策(偽造カードを使わせない)
■ ネット取引における不正使⽤対策(ネットでなりすましをさせない)

上記を3本柱とした上で、実行計画としてクレジットカードを取り扱う加盟店(EC事業者)に対し「クレジットカードの非保持化またはPCI DSS準拠」を義務付けました。

もうお分かりの通り、クレジットカード情報非保持化とはEC事業者が保有する機器やネットワークにおいて、クレジットカード情報を「保存」「処理」「通過」しないこと。

2020年には東京オリンピック・パラリンピックも開催されることから、安心安全なクレジットカード利用環境を実現しようと考えた上で政府が義務化したのセキュリティ対策のひとつが「クレジットカード情報の非保持化」なのです。

まとめ

キャッシュレス決済導入の際によく目にするセキュリティ用語をご紹介していきました。
英単語が並んでいると言うだけで難しく捉えがちではありますが、中身を知ってみると実は案外分かりやすいものもあります。
次にキャッシュレス決済に関するページを見る際には、ぜひ参考にしてみてください。

新着記事