「カード情報の非保持化」と「PCI DSS」の違いとは？EC加盟店様が選ぶべきセキュリティ対策

ECサイトを運営する加盟店様にとって、エンドユーザーのクレジットカード情報をいかに守るかは、事業の継続性を左右する最重要課題の1つです。2018年6月1日施行の改正割賦販売法、及びその実務指針である「クレジットカード・セキュリティガイドライン」により、EC加盟店には適切なセキュリティ対策が求められています。

対策の具体的な手法として挙げられるのが、「カード情報の非保持化」と「PCI DSS準拠」です。本記事では、これら2つの仕組みの違いや、それぞれの導入における留意点を解説します。

カード情報を「自社で守る（PCI DSS）」か、「持たない（非保持）」か

クレジットカード決済はECサイトにおける主要な決済手段ですが、依然としてカード情報の漏えい事故には注意が必要です。万が一、加盟店様の環境から情報が漏えいした場合、甚大な損害賠償やブランドイメージの失墜など、事業存続を揺るがす事態に発展します。

こうしたリスクを防ぐため、「クレジットカード・セキュリティガイドライン」では加盟店様に以下の「いずれか」の対策を完了することを求めています。

1. PCI DSSへの準拠（情報を自社で保持し、厳格なルールで守る道）
2. カード情報の非保持化（情報を自社で一切持たない状態にする道）

それぞれの定義を正しく理解することが、最適なセキュリティ戦略の第一歩です。

1. PCI DSSへの準拠：自社環境で情報を「安全に管理・保持する」ための国際基準

PCI DSS（Payment Card Industry Data Security Standard）とは、国際カードブランド5社が共同で策定した、カード情報保護のための「グローバルセキュリティ基準（ルール）」です。

• 対象: 自社で保有する機器やネットワークにおいて、クレジットカード情報を「保存・処理・通過」させるすべての加盟店様。
• 要件: 情報を自社で持つ以上、それを守るための強固なファイアウォールの構築、保存データの暗号化など、12の要件に基づく詳細なセキュリティ要件を満たす必要があります。
• 継続的負担: 毎年の訪問審査（または自己問診・SAQ）や、四半期ごとの脆弱性スキャンなど、準拠を維持し続けるための設備投資と専門人材の確保が継続的に求められます。

独自の高度なシステム要件がある大規模ECサイトや、カード情報を自社のデータベースで一元管理したい加盟店様にとって、不可欠なプロセスとなります。

2. カード情報の非保持化：自社環境に情報を「一切持たない」という状態

一方、非保持化とは特定のルールや基準のことではなく、加盟店様が保有する機器やネットワークにおいて、クレジットカード情報を「保存」せず、「処理」せず、「通過」させない【状態】のことです。

• 定義の重要性: ここで最も留意すべきは「通過させない」という点です。データベースにカード番号を記録していなくても、エンドユーザーが入力したカード情報が一瞬でも加盟店様のWebサーバーのメモリ上を通過したり、ログファイルに記録されたりすれば、それは「保持」とみなされます。
• なぜPCI DSSの対象外となるのか: 自社環境でカード情報を保存・処理・通過させない構成を実現できれば、加盟店様自身の環境を対象とするPCI DSS対応が不要となる場合があります。加盟店様ご自身の環境でPCI DSSに準拠する義務は免除されます。なぜなら、カード情報の処理や保護といった厳格な対応を、「PCI DSSに準拠している外部の専門システム（決済代行会社、BPO事業者、フルマネージドのSaaSなど）」へと委託し、自社ではそもそも「守るべき対象（カード情報）を持たない状態」になるからです。ただし、委託先との責任分界の確認や、自社側で求められる対策の実施は引き続き必要です。

どちらの手法を選択するかは、加盟店様のシステム構成やリソース、運用の目的によって異なりますので適切な対応をご検討ください。

「非保持化」を実現する具体的なアプローチ

では、情報を「通過」すらさせない非保持化は、具体的にどうすれば実現できるのでしょうか。自社のビジネスモデルや受注チャネルに応じ、主に以下のアプローチが存在します。

1. 決済代行会社が提供するソリューションの導入（Web受注）

自社で構築したECサイトにおいて最も一般的なのが、GMO-PGのような決済代行会社が提供する接続方式を利用した非保持化です。

• トークン（JavaScript）決済: エンドユーザーが決済画面で入力したカード情報を、加盟店様のサーバーを経由させず、ブラウザから直接決済代行会社へ送信し、別の無意味な文字列（トークン）に変換します。加盟店様のサーバーにはこの「トークン」のみが届くため、チェックアウト画面のデザインやユーザー体験（UX）を自社で自由に設計しながら、非保持化を実現できます。
• リンク（画面遷移）型決済: 決済のタイミングで、決済代行会社が用意した高セキュリティな決済専用画面へ遷移させる方式です。加盟店様側での決済システムの改修工数が最も少なく、手軽に確実な非保持化を達成できます。

　2.外部の専門システムを活用するアプローチ

決済代行会社の接続方式を利用する以外にも、情報を自社に通過させない以下のような手法が存在します。

• ASP・SaaS型カートシステムの活用: ECサイトの構築において、あらかじめ非保持化が組み込まれているプラットフォームを利用する方法です。
• BPO（業務委託）の活用: コールセンターや紙の受注業務を、まるごとPCI DSSに準拠した外部の専門業者へ委託する手法です。
• 専用の決済端末（CCT端末等）の導入: 自社のネットワークを一切経由せず、専用端末から直接決済ネットワークへ通信を行う手法です。

加盟店様は、自社の運用フローにこれらの仕組みを適切に組み込むことで、あらゆるチャネルにおける非保持化を達成することができます。

非保持化だけでは終わらない。次に求められるセキュリティ対策

ここまで「カード情報そのものを守る（漏えいを防ぐ）」ための非保持化とPCI DSSについて解説してきましたが、実は「クレジットカード・セキュリティガイドライン」が求めている対策はこれだけではありません。

情報漏えい対策を万全にした上で、さらに以下の2つの対策を講じることが義務付けられています。

1. クレジットカードの不正利用対策（EMV 3-Dセキュア等） 漏えい対策をしていても、第三者が他所で不正に入手したカード情報を使って加盟店様のサイトで買い物をしようとする「なりすまし被害」を防ぐための対策です。原則としてEC加盟店には、EMV 3-D セキュアの導入及び適切な不正ログイン対策の実施が求められています。
2. ECサイトの脆弱性対策 Webサイトのシステム的な隙（脆弱性）を突いたサイバー攻撃を防ぐための対策です。

※EMV 3-Dセキュアについては以下の記事でもご紹介しております。

経験と実績：最適なセキュリティ環境を構築し、本業に集中する

決済システムの選定において重要なのは、単に「非保持化ができるか」だけではありません。エンドユーザーの購買意欲を削がない処理スピードや、万が一のアクセス集中にも耐えうるシステムの安定性が必要不可欠です。

当社が提供する「PGマルチペイメントサービス」では、トークン決済やリンク型決済など、非保持化に対応する接続方式を提供しています。加えて、OpenAPIタイプでは、Web標準への準拠や既存接続方式との併用により、開発・運用の効率化を図れます

まとめ：加盟店様の事業フェーズに合わせた最適な選択を

クレジットカード情報の保護は、割賦販売法に基づくEC事業を営む上で避けては通れない課題です。

自社で高度な要件を構築し「PCI DSS準拠」の道を歩むか、それとも専門のシステムを活用し「非保持化」という状態を選択するか。どちらの手法を選択するにせよ、その背後には堅牢で信頼できる決済基盤の存在が不可欠です。

多くの加盟店様の決済を支える強固な基盤と実績を持つ、自らPCI DSSに完全準拠し続けるGMO-PGが、加盟店様の安全なビジネス展開をサポートいたします。加盟店様のサイト構成に合わせた最適な非保持化の手法について、まずは当社の専門スタッフまでお気軽にご相談ください。

お問い合わせはこちら