決済代行会社のセキュリティシステム

実際に事業を続けていく上で、決済時のセキュリティは心配な方が多いと思います。

では決済代行会社はどのような方法で決済時のリスクを減らし、安全なサービスを提供しているのでしょうか。

この記事では決済代行会社が提供しているセキュリティシステムについて詳細にご説明していきます。

この記事のポイント

決済代行会社が提供しているセキュリティシステムは会社によって様々なものがありますが具体的にどのようなものがあり、それによって企業はどのようなメリットを得られるかをご紹介します。

企業の事業規模や形態に合わせて適切なセキュリティシステムを導入していきましょう。

セキュリティ方針の背景

決済代行会社が提供しているセキュリティシステムは会社によって様々なものがありますが具体的にどのようなものがあり、それによって企業はどのようなメリットを得られるかをご紹介します。

企業の事業規模や形態に合わせて適切なセキュリティシステムを導入していきましょう。

決済代行会社のセキュリティの方針

決済代行会社が行っているセキュリティ対策には大きく分けて2つの方針があります。

1.クレジットカード情報の漏洩を防止すること

2.クレジットカードの不正利用を防止すること

次はなぜ決済代行会社のセキュリティシステムは上記のような方針になったのかについて説明します。

セキュリティ方針の背景

以前はセキュリティに関する法律の対象はクレジット加盟店契約会(アクワイアラ)のみで、セキュリティに力を注ぐ会社は多かったものの、法律上は決済代行会社にはセキュリティを強化する義務はありませんでした。

しかし2018年12月に交付された改正割賦販売法によって、決済代行会社にもセキュリティを強化することが義務付けられるようになりました。そのため更に決済代行会社はそれぞれがセキュリティに対して高い意識を持つようになり、様々な方法を使って対策をしています。

クレジットカード情報の漏洩防止

まずは決済代行会社が行っているクレジットカード情報の漏洩を防ぐ対策についてご紹介します。

以下で紹介されている2つの対策はいずれかを必ず実施するよう法律で義務付けられています。

クレジットカード情報非保持化

クレジットカード情報非保持化は文字通り、以前は加盟店が管理していた顧客のクレジットカード情報を決済代行会社が管理することで加盟

店がクレジットカード情報を保管する必要をなくさせるというやり方です。

この方法をとれば今まで常にクレジット情報が自社から漏洩するというリスクを抱えていた加盟店はそのリスクから解放されるという非常に

大きなメリットがあります。

基本的に決済代行会社の推奨しているクレジットカード情報の漏洩防止策はこの方法です。

非保持化の中にもいくつかやり方があり、代表的なものとしては顧客が入力したデータをそのまま決済代行会社が保管するもの以外にも、カード支払い時にカード情報を「トークン」と呼ばれる別の文字列に置き換えることで安全に決済を行う「トークン決済」、支払い画面を決済代行会社が提供する決済画面にリンクさせることという「リンク決済」など様々な種類がある。

事業形態に合わせて最善のものを導入しましょう。

PCI DSS準拠のサービス

「PCI DSS」は加盟店がカード情報を自社で管理したい場合、そのシステムが満たす必要のあるセキュリティ基準です。

PCI DSSとは「Payment Card Industry Date Security Standard」の略で、国際カードブランドであるVISA、MasterCard、Ameican Express、JCB、Discoverの」5社が共同設立しました。

もちろん決済代行会社のシステムは「PCI DSS」を要件を満たしています。

今から販売サービスを開始する場合には間違いなくクレジットカード非保持化を選んだ方が簡単ですが、自社でそのシステムを組む場合には決済代行会社と協力して「PCI DSS」の要件を満たした環境を作りましょう。

クレジットカードの不正利用防止

クレジットカードの不正利用の防止に関して、改正割賦販売法では「必要な措置」としてリスクに応じた多面的・重層的な不正使用対策の導入をする必要があります。

自社の事業規模や取り扱う商品の種類など応じた適切なシステムを導入しましょう。

以下では代表的なクレジットカードの不正利用の対策についてご紹介します。

3Dセキュア

3Dセキュアとは、インターネット上でクレジットカード決済を行う際に、クレジットカード情報だけでなくカード会社に登録したパスワードを入力を行うことで悪意のある第三者によるクレジットカードの不正利用を防ぐ方法です。

この方法はかなり一般的な方法となってきており、VISAやMasterCard、JCBなどの国際ブランド各社がこのシステムを導入しています。

クレジットカードの不正利用が発覚した場合のチャージバックが起こるリスクなどを考えると、最低限3Dセキュアは導入をおすすめします。

不正検知システム

不正検知システムは購入したデバイスや配送先の住所などの注文情報から不正利用であるかを審査するシステムのことです。

多くの取引があるサービスの場合、一件ずつ人力で確認していくのは現実的ではありませんし、限界があります。

そこで多くの情報を蓄積している不正検知システムを導入すればその不正利用であるかを確認する手間が一気に減り、担当者の負担を軽減することができます。

ただしこのシステムは取引が少ない場合にはスタッフが確認すれば十分な場合もあります。事業規模によるリスクや不正検知システムを導入した場合のコストなどを考慮したうえで導入しましょう。

セキュリティの力を入れていることが判断できる基準

ここでは決済代行会社の中でもセキュリティに力を入れている企業の認証を紹介します。

第一に「ISO/IEC27001」です。これは日本適合性認定協会が許諾しており、情報セキュリティの対策を高いレベルで行っている事業者に与えられる国際規格の一つです。

第二に「プライバシーマーク」です。日本情報経済社会推進協会が許諾しており、個人情報に関して適切な保護措置を行っている事業者に与えられる日本産業規格の一つです。

これらは徹底的なセキュリティシステムのある会社に与えられるものであるため、認証されている会社であればセキュリティ面についてはまず心配する必要はないでしょう。

まとめ

決済代行会社のセキュリティについてまとめると、

・クレジットカード情報の非保持化は会社のセキュリティの負担を大きく減らせる
・不正利用対策にまず3Dセキュアは導入するべき
・「プライバシーマーク」などの認証は企業がセキュリティに力を入れている証拠

決済代行会社では上記のようなサービスを提供しています。自社の事業規模などに合わせ、できる限りセキュリティに力を入れていることがわかる会社と契約するのをおすすめします。

新着記事