ITreview Labo

ITreviewでIT製品を探す
  1. HOME
  3. ITreview Labo TOP
  5. 決済代行サービス
  7. ECサイトのセキュリティに有効?決済代行サービスでセキュリティ対策

ECサイトのセキュリティに有効?決済代行サービスでセキュリティ対策

執筆:ライター CASITOMO 監修:ITreview Labo編集部

決済代行サービスを利用すると、EC運営者はシステム構築のコストを削減し、決済サービスの契約・手続きを簡略化できます。また、セキュリティ対策を強化できるのも、決済サービスのメリットです。

そこで今回は、EC運営者のセキュリティ責任やよくあるセキュリティ事件、決済代行サービスによるセキュリティ対策強化についてご紹介します。

セキュリティに対するEC運営者の責任について

現行法において、セキュリティ事件が発生した際に責任を負うのは「個人情報取扱事業者」のみです。「『個人情報取扱事業者』とは、個人情報保護法第2条第5項において、『個人情報データベースなどを事業の用に供している者』と定義されています。」

引用:個人情報取扱事業者の責務|組織幹部のための情報セキュリティ対策|企業・組織の対策|国民のための情報セキュリティサイト

つまり、ほとんどのEC運営者は個人情報取扱事業者にあたるため、セキュリティ事件により情報漏洩が起きれば当然ながら責任を負うことになります。

具体的には「1年以下の懲役又は100万円以下の罰金」に処せられます。ただし、より大きな問題は、社会的信用を失い大きな損害を被る可能性が高いことです。EC運営者はユーザーに対しても自社ビジネスに対しても、非常に重要なセキュリティ責任を負っていると言えるでしょう。

なお、実在するECサイトを装ったフィッシング詐欺などではEC運営者が責任を問われることはありません。しかし、ユーザーに安心してサービスを利用してもらうために、セキュリティ責任を自己に課すことが大切です。

ECサイトによくあるセキュリティ事件とは

ECサイトでよくあるセキュリティ事件は「クロスサイトスクリプティング」と「パスワードリスト攻撃」による被害などです。

クロスサイトスクリプティングとは、Webアプリケーションの脆弱性(セキュリティ上の欠点)を突き、何らかのアクションを起こしたユーザーを詐欺サイトに誘導するサイバー攻撃のことです。詐欺サイトでクレジットカード情報を入力してしまい、情報を盗まれることがあります。

パスワードリスト攻撃とは、ID・パスワードのリストを使って総当たり的に不正ログインを試みるサイバー攻撃です。複数のサービスで同じID・パスワードを設定しているユーザーが多いため、古典的ですが成功率の高いサイバー攻撃となっています。

クロスサイトスクリプティングとパスワードリスト攻撃は、「サイバー攻撃を受けた」とEC運営者が気づいてからでは遅いパターンが多く、個人情報漏洩や不正アクセスなどがすでに発生しているかもしれません。これらのリスクはどのEC運営者も抱えているものであり、早急な対策が必要です。

これ以外にも、ECサイトに対するセキュリティの脅威は日常的に潜んでいます。セキュリティ対策を強化するためにも、決済代行サービスを利用するのがおすすめです。

ECサイトは「PCI  DSSへの準拠」または「クレカ情報の非保持化」が必要

2018年6月に施行された「改正割賦(かっぷ)販売法」により、EC運営者には「PCI DSSへの準拠」もしくは「クレジットカード情報の非保持化」が求められるようになりました。

PCI DSSは世界的なクレジットカードセキュリティ基準であり、準拠の難度が高いためほとんどのECサイトは「クレジットカード情報の非保持化」を選択することになります。その選択肢には決済代行サービスが有効です。

決済代行サービスを利用すると、決済時に決済代行サービス事業者のページに遷移し、クレジットカード情報はEC運営者のサーバーを通過せずに送信されます。これによりEC運営者は、ごく簡単に改正割賦販売法の要件を満たせる仕組みです。

決済代行サービスならセキュリティ対策の強化につながる

決済代行サービスを利用するメリットは、改正割賦販売法の要件を満たせるだけではありません。セキュリティ対策の純粋な強化にもつながるため、ユーザーに安心してサービスを利用してもらう環境が整います。

決済代行サービスのほとんどは、前述したPCI DSSに準拠しています。クレジットカード情報を保持する必要があるため、当然と言えば当然でしょう。PCI DSSへの準拠が意味するのは、「非常に強力なセキュリティ対策を講じている」ということです。

2018年10月にベライゾンが発表した資料によると、PCI DSS完全準拠の割合は前回調査と比べて2.9ポイント減少したと報じられています。PCI DSSは年次審査が必要なセキュリティ基準であるため、しっかりと要件を満たしていないと準拠が難しいセキュリティ基準なのです。

出典:Verizon 2018 Payment Security Report|verizon

決済代行サービスを利用することで、ECサイトのセキュリティ対策も自然と強化されることになります。セキュリティ対策の重要性は理解していても、実際に対策を取るとなるとコストや技術の面で実施に踏み込めない企業は多いでしょう。そうした場合でも、決済代行サービスを利用すれば簡単にセキュリティ対策を強化できます。

決済代行サービスでセキュリティ基準をクリアしよう

サイバー攻撃による情報漏洩事件が頻繁に起きている昨今、ユーザーはセキュリティ対策に対して敏感になっています。クレジットカードなどの機密情報を扱うECサイトでは特に警戒しているため、堅固なセキュリティ対策を講じていることをアピールしなければいけません。そのためにも、決済代行サービスの導入をぜひ検討してみてください。

ビジネスに役立つ「決済代行」製品を探しにいく

この記事の執筆

CASITOMO

ライター

夫婦Webライター。2013年に夫婦で独立し、10,000本以上のSEOコンテンツを企業オウンドメディアに提供。夫は元通訳・翻訳家、妻は元アパレルマネージャー。映画鑑賞とバスケ、週末ベイキングが共通趣味。

この記事の監修

ITreview Labo編集部

ITreviewの記事編集チーム。ITreviewの運用経験を活かし、SaaSやIT製品に関するコンテンツをお届けします。

おすすめ記事