自社の商品、サービスをネット上のサイトで販売する“ECサイト”は、数多くの個人情報を取り扱っているサービスの1つです。
ECサイトは決済のためのクレジットカード情報なども取り扱うため、運営する企業は個人情報漏えいに備えた内部対策をするべきです。
それでは、具体的にどんな内部対策があるのかを解説しましょう。
ECサイト運営企業の内部対策って?
先ほども触れたように、ECサイトでは決済のためのクレジットカード情報などを取り扱います。
したがってECサイト運営企業では、決済に関する内部対策を重点的に行うべきだと言えます。
クレジットカードのカード番号や名義人などの個人情報が漏えいすると、二次被害のリスクが高くなるためです。
またECサイトを始め、クレジットカード情報を取り扱う企業は、クレジットカード情報の管理、不正利用に対する内部対策を取ることが義務付けられています。
ECサイト運営企業は、以下の2つの決済に関する内部対策を実施しましょう。
ECサイト運営企業が取るべき決済に関する内部対策①カード情報の非保持化
ECサイト運営企業が取るべき決済に関する内部対策には、まず“カード情報の非保持化”が挙げられます。
カード情報の非保持化とは、クレジットカードの情報をECサイト運営企業のネットワークで保存したり、処理したりしないことを言います。
非保持化の方法には“トークン方式”と“リンク方式”の2種類があります。
トークン方式は、クレジットカードの情報をトークンに置換し、決済代行業者に情報を送信するという方法です。
この方法では、クレジットカード情報がECサイト運営企業のサーバに保存されず、もしトークンが漏えいしたとしても、文字に置換されているため二次被害のリスクを抑えられます。
リンク方式は、クレジットカードで決済をする際のみ、決済代行業者のサイトにジャンプして、決済処理をするという方法です。
こちらの方法でも、クレジットカード情報はECサイト運営企業のサーバに保存されません。
また、非常に導入コストが安い内部対策だというところも特徴です。
ECサイト運営企業が取るべき決済に関する内部対策②PCIDSSの取得
ECサイト運営企業は、内部対策として“PCIDSS”の取得を目指すべきです。
PCIDSSとは、世界中で利用されているカードブランド5社(AMEX、Discover、VISA、MasterCard、JCB)が策定したセキュリティ基準のことです。
つまりECサイト運営企業が内部対策としてPCIDSSを取得することによって、ユーザーから絶大な信頼を得られるということです。
ただPCIDSSを取得するには、約400もの要件をクリアしなければいけないため、非常に難易度は高いです。
また取得するためのコストは1,000万円を超え、維持するために毎月支払う費用は100万円を超えているため、取得できる企業はある程度限定されます。
まとめ
ECサイト運営企業は、決済に関する内部対策を随時導入し、ユーザーへの被害を未然に防がなければいけません。
いきなりPCIDSSを取得するのはハードルが高いため、まずは情報の非保持化から導入を検討しましょう。
1度クレジットカード情報が漏えいしてしまうと、企業がこれまでに積み上げた実績と信頼は水泡と化してしまいます。
企業は個人情報保護の第三者認証制度’’JAPHIC(ジャフィック)マーク’’などを取得し、社内外にその取り組みを認知してもらうのが良いでしょう。
