クレジットカード情報をシステム上で取り扱う際の技術的な話

こんにちは！ソフトブレーンの松嶋です。

近頃はキャッシュレス化の浸透もあって、個人的にもクレジットカードを使用する機会も非常に増えてきました。

今回はクレジットカード情報をシステム上で取り扱うにあたり、気をつけなければいけないことについてお話ししていきます。

本トピックを学んだきっかけ

いきなり脱線気味になりますが、ソフトブレーンはCRM/SFAベンダーなので、「なぜ、システム上でのクレジットカード情報の取り扱いなの？」と言う疑問があるかもしれません。

ソフトブレーンでは、中小企業向けのCRM/SFAパッケージである「eセールスマネージャーMS」とさらに小規模向けCRM/SFAパッケージである「eセールスマネージャーnano」はECサイト上で販売をしております。

また、それぞれのサービスに向けたECサイトは自社開発しており、その中でクレジットカードも取り扱いますので、その中での学習したことやノウハウになります。

ここ数年の動向について

2018年6月に「割賦販売法の一部を改正する法律（改正割賦販売法）」が施行され、クレジットカード情報を取り扱う加盟店（弊社もこちらに当たります。）では、PCI-DSSと言う国際規格に準拠する、もしくは「クレジットカード情報の非保持化」への対応が必須となりました。

この「非保持化」と言うものは、「クレジットカードの情報が加盟店の機器/ネットワークを通過しない」と言うもので、「非保持」と言う文字からイメージしがちな「データとして保存しない」、と言うものではなく、サーバ自体を通過させないと言った類のものとなります。

なお、以前はこの「非保持化」は必須ではなかったため、「データとしてクレジットカードを持っていない会社」でも「カード情報がネットワーク/機器などを通過する」運用をしていた場合には、今回の改正によって、ECサイトを改修する必要性が出てきたと言うことになります。

技術的な解決方法

クレジットカード情報の非保持化には決済代行業者の提供サービスによって使用の可否は異なりますが、主に2つの方法が提供されています。

1.リンク方式

　加盟店のECサイトから、決済代行業者の画面に遷移をして、決済代行業者のサイトでクレジットカード情報を入力させようと言うものです。

　決済代行業者のサイトで入力するため、決済代行業者のサイトを経由することなく、「非保持化」が実現できる手段となっています。

2.トークン方式

　加盟店のECサイトにJavaScriptで決済代行業者が用意したAPIへクレジットカード情報を送信します。

　また、決済代行業者のAPIではカード情報が特定不能な形のトークンとして、レスポンスされその後の与信処理などをトークンを用いて行うと言うものです。

　クレジットカード情報はJavaScriptを用いて、ブラウザから直接決済代行業者のAPIへリクエストされ、それ以降は「クレジットカード情報を持たないトークン」を取り扱うため、こちらでも「非保持化」が実現できる手段となっています。

また、リンク方式とトークン方式を比較した際、リンク方式では、決済代行業者の画面がユーザ操作の導線に含まれるため、

サイトに一貫性を持たせたい場合には、トークン方式を使用すると言うのが主流なようです。

まとめ

今回はクレジットカード情報の取り扱いにおいて、法律の改正によるアーキテクチャの変更の必要性について記事にしてみました。

ITサービスでは、直接的のエンドユーザ様の情報を取り扱うこともあり、そこには法律が関係してくることもあります。そう言った一例のご紹介でした。