サービス比較の記事一覧

法人保険でリスクに備えたい
カーボンクレジットを活用したい

サービス比較の記事一覧

法人保険でリスクに備えたい
カーボンクレジットを活用したい

オンラインサービスに決済を導入したい

オンライン決済システム・代行サービス
の関連情報


関連サービス資料を
無料で一括ダウンロード

カード情報の非保持化とは?EC事業者に求められる理由と対応方法をわかりやすく解説

カード情報の非保持化とは?EC事業者に求められる理由と対応方法のサムネイル画像

クレジットカード決済を扱う事業者が、決済代行会社やカード会社から「カード情報の非保持化に対応してください」と求められる場面が増えています。ところが「非保持化」と言われても、その言葉が具体的に何を指すのか、自社の決済の仕組みがそれに当てはまっているのかは、意外とわかりにくいものです。

カード情報の非保持化とは、ごく簡単に言えば「自社のシステムでカード番号などの情報を持たない状態」にすることです。ただし、どこまでを「持たない」と言うのか、なぜそれが求められるのか、どうすれば実現できるのかを正しく理解しておかないと、対応の方向を取り違えてしまいます。

この記事では、カード情報の非保持化の定義を割賦販売法やクレジットカード・セキュリティガイドラインにもとづいて整理し、非保持化が求められる理由、実現する方法、PCI DSS準拠との選び分け、そして自社が対応できているかの確認方法までをわかりやすく解説します。読み終えたとき、自社が何をすべきかの見通しを持てるようにすることが目的です。

オンライン決済システム・代行サービスの関連サービス資料
PR
本セクションにはプロモーションが含まれており、表示順は当社独自の基準や提携状況に基づいています。

カード情報の非保持化とは?

まずは、検索して最初に知りたい「非保持化とは何か」という言葉の意味から確認します。

非保持化とは「保存・処理・通過」しないこと

カード情報の非保持化とは、自社が保有する機器・ネットワークにおいて、クレジットカード情報の「保存」「処理」「通過」が行われないようにすることです。カード番号やセキュリティコードなどの情報を自社のサーバーやシステムにいっさい残さず、通り抜けもさせない状態を指します。

この定義は、割賦販売法にもとづく実務指針を取りまとめる一般社団法人日本クレジット協会が、加盟店向けに次のように示しています。

加盟店は、カード情報を保持しない非保持化(非保持と同等/相当を含む)、又はカード情報を保持する場合はPCI DSSに準拠する。

自社で保有する機器・ネットワークにおいてカード情報の「保存」「処理」「通過」が行われないようにする、もしくは「PCI DSS」というデータセキュリティの国際基準に準拠する必要があります。

出典:加盟店(クレジットカードを取り扱うお店)の皆様へ|一般社団法人日本クレジット協会

ここで押さえておきたいのが、カッコ書きの「非保持と同等/相当を含む」という一文です。カード情報を物理的にまったく通さない構成だけでなく、暗号化などによってカード情報を実質的に判読できない状態にする方法も、非保持化と同等の措置として認められます。

そしてもう一つの選択肢が、カード情報を自社で保持したうえで「PCI DSS」という国際的なデータセキュリティ基準に準拠する道です。このように事業者に求められるのは、「非保持化する」か「PCI DSSに準拠する」かのいずれかという関係になります。PCI DSS準拠との選び分けは、記事後半であらためて整理します。

「保持している」と見なされる3つの条件と例外

非保持化を理解する鍵は、「保持している」と見なされる状態を具体的に知ることです。カード情報は、次の3つのいずれかが自社のシステムで起きていると「保持」に該当します。逆に言えば、この3つをすべて避けられれば非保持化が成立します。

区分意味該当する例
保存カード情報を自社の機器・データベースに記録・保管する注文情報とともにカード番号をDBに保存する/ファイルに書き出す
処理自社のシステムでカード情報を扱い、処理を行う自社サーバー上のプログラムでカード番号を受け取り決済処理する
通過カード情報が自社の機器・ネットワークを通り抜ける自社サーバーを経由してカード情報を決済代行会社へ中継する
カード情報を「保持している」と見なされる3つの条件

重要なのは、一瞬でも自社のサーバーを「通過」すれば保持に該当するという点です。カード情報を保存していなくても、自社システムを経由して決済代行会社へ送っている構成は非保持化にあたりません。「保存さえしなければよい」という誤解に陥りやすいので注意が必要です。

ここでいう非保持化は、あくまで自社の機器・ネットワーク上でのカード情報の扱いを対象にした考え方です。そのため、対面や電話・郵送での注文で、紙の伝票やFAX、通話の録音データにカード番号が残るケースは、この「保存・処理・通過」とは別に扱われます。

ただし、それらが「対応しなくてよい」という意味ではありません。紙や録音でカード情報を扱う場合は、施錠保管や取り扱いルールの整備など、システム上の非保持化とは別の管理が求められます。まずは自社の決済がどの経路でカード情報に触れているかを、この3条件に照らして確認してみてください。

なぜカード情報の非保持化が求められるのか

ここからは、非保持化が「やったほうがよいこと」なのか「やらなければならないこと」なのか、その背景を確認します。

割賦販売法によるカード番号等の適切な管理義務

結論から言うと、カード情報の非保持化(またはPCI DSS準拠)は、法律にもとづいて加盟店に求められている対応です。根拠となるのは、割賦販売法(昭和36年法律第159号)です。2018年6月1日に施行された改正割賦販売法により、クレジットカードを取り扱う加盟店に対して、カード番号等の適切な管理と不正利用対策を講じることが義務付けられました。

カード番号等の適切な管理義務は、割賦販売法第35条の16に定められています。

クレジットカード番号等取扱業者(次の各号のいずれかに該当する者をいう。以下同じ。)は、経済産業省令で定める基準に従い、その取り扱うクレジットカード番号等(略)の漏えい、滅失又は毀損の防止その他のクレジットカード番号等の適切な管理のために必要な措置を講じなければならない。

出典:割賦販売法 第35条の16|e-Gov法令検索

ここでいう「クレジットカード番号等取扱業者」には、商品やサービスをカード決済で販売する販売業者・役務提供事業者、すなわち加盟店が含まれます。自社ECサイトでカード決済を受け付ける事業者も、この義務の対象です。法律は「経済産業省令で定める基準に従い」措置を講じることを求めており、その具体的な水準が問われます。

この「必要な措置」の実務上の指針となるのが、クレジット取引セキュリティ対策協議会(事務局:一般社団法人日本クレジット協会)が取りまとめる「クレジットカード・セキュリティガイドライン」です。同ガイドラインは、法令で義務付けられた措置の実務上の指針として位置付けられています。

「割賦販売法(後払分野)に基づく監督の基本方針」において、『クレジットカード・セキュリティガイドライン6.0版』(以下ガイドライン)に掲げられる措置が割賦販売法で義務付けられているクレジットカード番号等の漏えい等の事故及び不正利用を防止するための措置の実務上の指針として位置付けられています。

出典:加盟店(クレジットカードを取り扱うお店)の皆様へ|一般社団法人日本クレジット協会

このガイドラインが、カード情報保護対策として「非保持化」または「PCI DSS準拠」を求めています。このように、非保持化は任意の推奨事項ではなく、法令にもとづく実務指針として加盟店に求められている対応だと理解しておく必要があります。また、同ガイドラインの最新版は、2026年3月に公表された6.1版です。EC加盟店に関わる指針対策は、その前の6.0版(2025年3月)で追加されました。

出典・参考資料(2件)

対応しないとどうなるか(罰則の有無・加盟店契約解除・漏えい時の賠償)

では、対応を怠るとどうなるのでしょうか。まず、加盟店に対して割賦販売法上の直接の罰則(改善命令など)が科される仕組みにはなっていません。改善命令を定める第35条の17は、加盟店にあたる販売業者・役務提供事業者を対象から除いています。この点で「対応しないと即座に罰金」といった性質のものではありません。

ただし、放置してよいわけではありません。割賦販売法は、加盟店契約を結ぶ決済代行会社などに対し、加盟店の対応状況を調査し、基準に適合していない場合には加盟店契約の解除を含む必要な措置を講じる義務を課しています(第35条の17の8)。そのため、義務を果たさないまま放置すれば、カード決済を扱えなくなる可能性があります。

さらに、万一カード情報の漏えい事故を起こせば、加盟店契約やカードブランドの規則にもとづく損害賠償や調査費用の負担といった実務上のリスクも生じます。罰則がないから安全というわけではなく、事業継続に直結するリスクとして捉えておくべき対応だと言えます。

出典・参考資料(1件)

カード情報を非保持化する方法

ここからは、非保持化を実際にどう実現するのか、その代表的な方法を確認します。いずれも、自社のサーバーをカード情報が「通過」しない仕組みをつくる点が共通しています。

カード情報の非保持化を図解。非保持化できている構成では、購入者のブラウザから決済代行会社へカード情報が直接送られ、自社サーバーには渡らない。一方、購入者から自社サーバーを通過して決済代行会社へ送る構成は、一瞬でも通過すれば保持に該当し非保持化にあたらない。

ブラウザからカード情報を直接送る方式(リンク型・トークン型)

自社ECサイトでよく採られるのが、購入者のブラウザからカード情報を決済代行会社へ直接送り、自社サーバーには通さない方式です。代表的に2つのタイプがあります。

リンク型(リダイレクト型)は、決済の場面で購入者を決済代行会社が用意する決済ページへ遷移させ、カード情報の入力・処理をその画面で完結させる方式です。カード情報は自社サイトを一切通らないため、非保持化を確実に実現しやすい方法です。一方で、購入者が別ページへ移動するため、画面が変わることによる離脱が起きやすい点は考慮しておく必要があります。

トークン型(JavaScript型)は、自社の決済画面のまま、入力されたカード情報をJavaScriptの仕組みで決済代行会社へ直接送信し、代わりに「トークン」と呼ばれる別の文字列を受け取る方式です。自社サーバーが扱うのはトークンだけで、カード情報そのものは通りません。購入者は自社サイト内で決済を完了できるため離脱を抑えやすい半面、決済画面を狙ったフォームの改ざんには別途注意が要ります。

決済端末・タブレットを使う方式(非通過型・PCI P2PE)

対面や電話・郵送での受注では、専用の決済端末やタブレットを使い、カード情報を自社の業務システムに通さずに処理する方式が用いられます。カード情報が決済代行会社側の機器・ネットワークだけで処理される「非通過型」の考え方です。

また、カード情報を端末で読み取った時点から決済代行会社まで暗号化して送り、途中で判読できないようにする「PCI P2PE」(Point-to-Point Encryption)という認定ソリューションを使う方法もあります。これはカード情報が自社機器を通過するものの、暗号化により実質的に判読できないため、非保持化と同等の措置として扱われます。

自社の決済形態で見る対応(EC/電話・郵送注文別の当てはめ)

どの方式を選ぶかは、自社がどのようにカード決済を受け付けているかで変わります。自社の決済形態に照らして整理してみてください。

  • 自社ECサイトで購入者がカード情報を入力する場合:リンク型(リダイレクト型)またはトークン型(JavaScript型)を提供する決済代行サービスを使い、自社サーバーにカード情報を通さない構成にする
  • 電話・郵送・FAXなどで注文を受ける場合(MO・TO取引=メールオーダー・テレフォンオーダー):決済専用端末やタブレットを使う非通過型、またはPCI P2PE認定ソリューションを導入し、業務システムにカード情報を残さない運用にする

いずれの場合も、鍵になるのは「自社のシステムがカード情報に触れない仕組みを、決済代行サービスの機能で用意する」ことです。次の章では、非保持化ができない場合に選ぶことになるPCI DSS準拠との関係を整理します。

非保持化とPCI DSS準拠、どちらを選ぶべきか

ここでは、加盟店に求められるもう一つの選択肢であるPCI DSS準拠と、非保持化との選び分けを整理します。

PCI DSS(Payment Card Industry Data Security Standard)は、カード情報を扱う事業者に求められる国際的なデータセキュリティ基準です。加盟店がカード情報を自社で保持・処理する場合には、このPCI DSSに準拠することが求められます。

準拠には、ネットワークやシステムの構成から運用体制・アクセス管理までを対象とした対策と、その状態を継続的に維持・点検する取り組み(自己問診票=SAQの提出や、規模によっては監査)が必要です。相応のコストと運用負荷がかかる点が、非保持化との大きな違いになります。

そのため多くのEC事業者にとっては、カード情報を自社で持たない非保持化のほうが、現実的で負担の少ない選択肢になります。前述のリンク型・トークン型・非通過型を使えば、PCI DSS準拠のために自社で重い管理体制を維持しなくても、カード決済を扱えるためです。

判断の分かれ目は、自社でカード情報を保持する必要があるかどうかにあります。カード情報を自社システムに保存・処理しないで済むなら非保持化を選び、独自の決済基盤を持つなどでカード情報を自社で扱う必然性がある場合にPCI DSS準拠を検討する、というのが基本的な整理です。

接続方式の選択は、カード情報そのものについて自社が負うセキュリティ上の責任範囲にも直結します。どの構成をとるかで、自社が引き受ける範囲は次のように変わります。

  • リンク型(リダイレクト型):カード情報は自社サイトを一切通らない。カード情報そのものの管理責任は決済代行会社側にあり、自社は決済ページへの遷移や自社サイトの改ざん対策を担う
  • トークン型(JavaScript型):カード情報は自社サーバーを通らないが、入力画面は自社サイト上にある。カード情報の管理責任は決済代行会社側に寄る一方、決済画面の改ざん・脆弱性対策の責任は自社に残る
  • PCI DSS準拠(カード情報を自社で保持):カード情報の保存・処理を自社で行うため、その保護の責任を自社が全面的に負い、PCI DSSの基準を満たし続ける必要がある

このように、カード情報を自社に通さない構成にするほど、カード情報そのものの管理責任は決済代行会社側に寄り、自社が負う範囲は小さくなります。どこまでを自社で引き受けるかという観点でも、非保持化とPCI DSS準拠の選び分けを考えておくとよいでしょう。

接続方式ごとの自社が負う責任範囲を比較した図解。リンク型はカード情報が自社サイトを一切通らず自社の責任は小さい。トークン型はカード情報が自社サーバーを通らないが入力画面は自社上のため決済画面の改ざん・脆弱性対策の責任が残り中程度。PCI DSS準拠はカード情報の保存・処理を自社で行い保護の責任を自社が全面的に負うため大きい。

非保持化しても残る責任範囲と落とし穴

非保持化を実現しても、それだけですべての不正やリスクがなくなるわけではありません。ここからは、非保持化しても残る責任範囲と、見落としやすい落とし穴を確認します。

高水準が続くカード情報漏えい・不正利用の被害

非保持化が求められる背景には、カード不正利用被害の深刻さがあります。被害額は近年減少に転じたものの、依然500億円を超える高水準にあります。しかも、その9割超をEC(非対面)で起きるカード番号の盗用が占めるため、非保持化だけに頼れない状況が続いています。

一般社団法人日本クレジット協会の被害発生状況の集計によると、クレジットカードの不正利用被害額は2020年の253.0億円から急増し、2024年には過去最高の555.0億円に達しました。直近の2025年通年は510.5億円と前年より減少に転じたものの、番号盗用による被害額は475.4億円で全体の9割超を占めています。

なお、2025年通年の不正利用被害額は510.5億円(前年比8.0%の減少)、(略)番号盗用被害額は475.4億円(同7.4%の減少)

出典:クレジットカード不正利用被害の集計結果について(2026年3月6日)|一般社団法人日本クレジット協会

この数字は、カード情報を狙う攻撃が今なお活発であることを示しています。非保持化は、その入口となるカード情報の流出リスクを減らすための基本的な対策と位置づけられます。

Webスキミング・フォーム改ざんという落とし穴

見落としやすいのが、非保持化していても防ぎきれない攻撃があるという点です。代表例が、ECサイトの決済ページに不正なプログラムを埋め込み、購入者が入力したカード情報を抜き取る「Webスキミング」です。

トークン型(JavaScript型)で非保持化していても、決済画面を表示する自社サイト側が改ざんされれば、購入者の入力段階でカード情報を盗まれる恐れがあります。カード情報が自社サーバーを通過しない構成であっても、サイトそのものの改ざん対策や脆弱性対策は別途必要になるということです。

実際、クレジットカード・セキュリティガイドラインでも、EC加盟店に対してシステムおよびWebサイトの脆弱性対策の実施が指針対策として挙げられています。非保持化は「カード情報を自社に残さない」ための対策であり、サイトの改ざんを防ぐ対策とは役割が異なることを理解しておく必要があります。

非保持化だけでは不十分——EMV 3-Dセキュアなど残る不正利用対策

もう一つ押さえておきたいのが、非保持化はカード情報の「漏えい対策」であって、盗まれたカード情報による「なりすまし利用の対策」とは別だという点です。EC加盟店には、漏えい対策と並んで不正利用対策も求められています。

その中心となるのが、本人認証の仕組み「EMV 3-Dセキュア」です。クレジットカード・セキュリティガイドラインでは、原則としてすべてのEC加盟店に対し、2025年3月末までにEMV 3-Dセキュアを導入することが指針対策として示されました(下記引用は当時の5.0版の記載で、この指針対策は現行版にも引き継がれています)。

2025年3月末までの、原則、全てのEC加盟店のEMV 3-Dセキュアの導入に向けて

出典:クレジットカード・セキュリティガイドライン【5.0版】改訂のポイント|クレジット取引セキュリティ対策協議会

2026年時点ではこの期限を過ぎており、EMV 3-Dセキュアの導入はEC加盟店にとって原則求められる対策となっています。カード情報の非保持化と本人認証(EMV 3-Dセキュア)は、いずれもEC加盟店に求められる対策として、あわせて備えておく必要があります。

出典・参考資料(2件)

自社は非保持化に対応できているか(チェックリスト)

ここまでの内容を、自社に当てはめて確認してみましょう。以下のチェックリストで、自社が義務の対象か、すでに非保持化できているかの見当をつけられます。

自社チェックリストと決済代行会社に確認すること

まず、自社が非保持化(またはPCI DSS準拠)を求められる立場かどうかを確認しましょう。

  • 自社でクレジットカード決済を受け付けているか(受け付けているなら対応が求められる立場)
  • カード情報を自社のサーバー・データベースに保存していないか
  • カード情報が自社サーバーを「通過」する構成になっていないか(自社を経由して決済代行会社へ送っていないか)
  • リンク型・トークン型・非通過型など、カード情報を自社に通さない方式を使っているか
  • 決済ページの改ざん・脆弱性対策を行っているか
  • EMV 3-Dセキュア(本人認証)を導入しているか

自社の決済構成がどうなっているか判断がつかない場合は、契約している決済代行会社に確認するのが確実です。「現在の契約で採用している接続方式は何か」「カード情報は自社サーバーを通過しない構成になっているか」「非保持化に対応しているか」を問い合わせると、自社の状態を把握できます。

確認の結果、カード情報が自社を通過している、あるいは対応状況がはっきりしないといった場合は、非保持化に対応した決済代行・決済サービスへの切り替えや相談を検討することになります。次の章で、非保持化に対応した決済サービスの選び方を整理します。

非保持化に対応した決済代行・決済サービスの選び方

ここからは、カード情報の非保持化を実現する手段として選べる決済代行・決済サービスを、代表的な例として紹介します。非保持化はサービス選びで実現できるため、自社の決済形態に合うものを選ぶのがポイントです。

選ぶときは、次の観点で整理すると自社に合うサービスを見極めやすくなります。リンク型・トークン型など対応している接続方式、クレジットカード以外も含む対応決済手段、初期費用や手数料といった料金、そしてPCI DSS準拠やEMV 3-Dセキュア対応といったセキュリティ体制です。以下の比較表で、主要な項目を横並びで確認できます。

← 横にスクロールできます →
サービス名Paysys(ペイシス)サブスクペイ
提供会社株式会社ペイメントフォー株式会社ROBOT PAYMENT
対応接続方式(非保持化)リンク型(メールリンク・フォーム)
API連携型
トークン型/リンク型(メールリンク)
対応決済手段クレジットカード5ブランド/PayPay/コンビニ/ペイジー/バーチャル口座/WEB口座振替クレジットカード/口座振替/コンビニ/銀行振込/掛け払い 等
初期費用要問い合わせ
(BtoB限定プランは0円〜)
要問い合わせ
決済手数料要問い合わせ
(BtoB限定プランは〜1.99%)
クレジットカード2.5%〜
+7円/件
継続課金継続課金に特化
PCI DSS準拠SAQ Type-D準拠
EMV 3-Dセキュア追加費用なしで標準対応3Dセキュア2.0に標準対応
詳細情報公式資料を見る公式資料を見る

1. Paysys(ペイシス)(株式会社ペイメントフォー)

Paysys(ペイシス) 公式サイト

システム開発を必要とせずに導入できるオンライン決済サービスです。株式会社ペイメントフォーが提供し、管理画面から請求用のURLを発行してメール・SMS・SNSで送るだけで、クレジットカードなどの決済を完結できます。

提供方式はメールリンク型・フォーム型・API連携型の3タイプがあり、いずれもカード情報を自社サーバーに通さずに決済できる仕組みです。特にメールリンク型・フォーム型は、非保持化のリンク型にあたる方式として、自社サイトの構築なしで手早く非保持化を実現したい事業者に向いています。

セキュリティ面では、カード情報を扱うシステムがPCI DSS(SAQ Type-D)に準拠し、本人認証のEMV 3-Dセキュアを追加費用なしで標準対応します。クレジットカード5ブランドに加え、PayPay・コンビニ・ペイジー・バーチャル口座など幅広い決済手段に対応する点も特徴です。

2. サブスクペイ(株式会社ROBOT PAYMENT)

サブスクペイ 公式サイト

サブスクリプション・継続課金に特化した決済サービスです。株式会社ROBOT PAYMENTが提供し、登録したカード情報にもとづく自動課金を軸に、顧客情報や契約情報の管理までを一元的に扱えます。累計導入企業は14,000社以上にのぼります。

継続課金では、初回にカード情報をトークン化して登録し、以降は自社でカード情報を保持せずに自動課金を続けられます。トークン決済やメールリンク決済に対応しており、毎月の課金でカード情報を扱い続ける定期購入・サブスク事業者が、非保持化を保ちながら回収を自動化できる点が強みです。

セキュリティ面では、クレジットカード業界の国際基準であるPCI DSSに準拠し、情報セキュリティマネジメントの国際規格ISMS認証も取得しています。クレジットカードに加え、口座振替やコンビニ決済など複数の集金手段を1つの管理画面で扱える点も、継続課金の取りこぼしを抑えたい事業者に向いています。

ここで挙げた2サービス以外にも、非保持化に対応したオンライン決済システムは数多くあります。実店舗・EC・サブスクといった提供形態ごとに、対応方式や機能・料金をふまえて幅広く比較検討したい場合は、以下の記事もあわせてご覧ください。

まとめ

カード情報の非保持化とは、自社の機器・ネットワークでカード情報を「保存」「処理」「通過」させない状態にすることです。割賦販売法にもとづき、加盟店には非保持化またはPCI DSS準拠が実務指針として求められており、任意の推奨ではなく事業継続に関わる対応だと理解しておく必要があります。

実現の方法は、リンク型・トークン型・非通過型など、カード情報を自社に通さない仕組みを決済代行サービスの機能で用意することが基本です。あわせて、決済ページの改ざん対策やEMV 3-Dセキュアによる本人認証など、非保持化だけでは防げないリスクへの備えも忘れないでください。

まずは自社の決済構成が非保持化できているかを、本記事のチェックリストや決済代行会社への確認で把握することから始めましょう。対応が不十分であれば、非保持化に対応した決済サービスの資料を取り寄せ、自社に合う仕組みを比較検討してください。

よくある質問(FAQ)

Q. カード情報の非保持化とは何ですか?

A. カード情報の非保持化とは、自社が保有する機器・ネットワークにおいて、クレジットカード情報の「保存」「処理」「通過」が行われないようにすることです。カード番号やセキュリティコードを自社のサーバーやシステムにいっさい残さず、通り抜けもさせない状態を指します。暗号化などによってカード情報を実質的に判読できない状態にする「非保持と同等/相当」の措置も含まれます。

出典・参考資料(1件)

Q. 自社ECサイトでカード決済を受け付けている場合、非保持化の対象になりますか?

A. 自社ECサイトでクレジットカード決済を受け付けている事業者は、カード情報の非保持化(またはPCI DSS準拠)を求められる対象です。割賦販売法第35条の16は、カード決済で商品・サービスを販売する加盟店(クレジットカード番号等取扱業者)にカード番号等の適切な管理を義務付けています。

自社ECでカード決済を受け付ける事業者も、この加盟店に含まれます。規模の大小を問わず、カード決済を扱うなら対応が必要な立場だと考えておく必要があります。

出典・参考資料(1件)

Q. Shopifyなどの既製ECカート・プラットフォームを使っていれば非保持化できていますか?

A. 多くの既製ECプラットフォーム・カートは決済処理を外部の決済代行にゆだねる仕組みのため、標準的な使い方であれば非保持化に沿った構成になっていることが一般的です。ただし、決済まわりのプラグイン設定や、独自にカード情報を扱うカスタマイズによっては該当しない場合もあります。

利用中のサービスがどの接続方式(リンク型・トークン型など)でカード情報を扱っているかを、プラットフォームの提供元や決済代行会社に確認しておくと確実です。

Q. カード情報の非保持化に対応しないと罰則はありますか?

A. カード情報の非保持化を怠っても、加盟店に対する割賦販売法上の直接の罰則(改善命令など)は科されません。改善命令を定める第35条の17は、加盟店にあたる販売業者・役務提供事業者を対象から除いているためです。

ただし、割賦販売法は決済代行会社などに対し、基準に適合しない加盟店との加盟店契約の解除を含む必要な措置を講じる義務を課しています(第35条の17の8)。放置すればカード決済を扱えなくなる可能性があり、漏えい事故時の損害賠償リスクもあります。罰則がないから安全とは言えない、事業継続に関わる対応です。

出典・参考資料(1件)

Q. カード情報の非保持化への対応には、どれくらいの費用や期間がかかりますか?

A. 費用や期間は、選ぶ接続方式や既存システムの構成によって幅があります。決済ページを決済代行会社側に任せるリンク型のように既存の仕組みを活用できる方式なら、比較的短期間・低コストで対応できる場合もあります。

一方、既存システムとの連携やカスタマイズが必要な場合は、それに応じた期間・費用がかかります。正確な見積もりは、自社に合う対応方式とあわせて決済代行会社に相談して確認してください。

Q. 自社が非保持化できているか、決済代行会社に何を確認すればよいですか?

A. 決済代行会社には、「現在の契約で採用している接続方式は何か」「カード情報が自社サーバーを通過しない構成になっているか」「非保持化に対応しているか」の3点を確認するのが確実です。自社の決済構成が自分では判断しづらい場合でも、この3点を問い合わせれば自社の状態を把握できます。

カード情報が自社を通過している、あるいは対応状況がはっきりしない場合は、非保持化に対応した決済代行・決済サービスへの切り替えや相談を検討することになります。

Q. カード情報を非保持化すれば、不正利用対策は十分ですか?

A. カード情報の非保持化だけでは、EC加盟店に求められる不正利用対策として十分ではありません。非保持化はカード情報の「漏えい対策」であり、盗まれた番号による「なりすまし利用」を防ぐ本人認証「EMV 3-Dセキュア」は別に必要です。

EMV 3-Dセキュアは、原則すべてのEC加盟店に導入が求められています。加えて決済ページの改ざん(Webスキミング)や脆弱性への対策も、非保持化とは役割が異なる対策としてあわせて備えておく必要があります。

オンライン決済システム・代行サービスの料金・手数料を一括チェック

MCB FinTechカタログでは、非保持化に対応した決済代行・オンライン決済サービスの最新資料をワンクリックで一括入手できます。対応する接続方式・決済手段・料金・セキュリティ体制など、比較に必要な情報をすばやく把握できます。

MCB FinTechカタログに掲載しませんか?

MCB FinTechカタログでは、掲載企業様を募集しています。マネックスグループの金融実務ノウハウを活かした独自の評価軸と検索設計により、導入検討者が最適なサービスを効率的に発見できる法人向け比較プラットフォームです。掲載後は管理画面から料金表や導入事例を随時更新でき、常に最新の情報を訴求可能。まずは下記フォームより、お気軽にお問い合わせください。

オンライン決済システム・代行サービスの関連サービス資料

PR

本セクションにはプロモーションが含まれており、表示順は当社独自の基準や提携状況に基づいています。

関連記事

新着記事