キャッシュレス化の波を受けて、中小企業経営者の中にもクレジットカードでの支払いを受け付けている、最近受け付け始めたという人は少なくないでしょう。
今回はクレジットカードを扱う上で知っておきたい、クレジットカード業界のセキュリティー基準「PCI DSS」について、どのようなものなのか、対応しないことによるリスク、どう対応するのか、さらに簡単かつ費用をかけずにPCI DSSに準拠する方法を紹介します。
PCI DSSとは
PCI DSSとは、Payment Card Industry Data Security Standardの頭文字をとった略語で、クレジットカードによる支払いを受け付ける際に情報を安全に守るために定められたセキュリティー基準です。この基準はクレジットカードの国際ブランドAmerican Express、Discover、JCB、Mastercard、Visaの5社によって定められたもので、クレジットカード会員の個人情報や決済に関するデータを安全に取り扱うことを目的としています。PCI DSSは国際ブランド5社が設立したPCI SSC (PCI Security Standards Council)が管理しています。PCI SSCには日本語のウェブサイトもあり、PCI DSSの日本語版が公開されています。
PCI DSSの日本語版を開いてみると100ページを超える文書に圧倒されてしまうかもしれません。PCI DSSについては経営者がすべてを詳細に把握する必要はないので安心してください。まず、PCI DSSという安全にクレジットカードに関するデータを取り扱うためのセキュリティーの基準があり、クレジットカードに関する情報を保持する事業者はこの基準に準拠、つまり対応しなければならないことを覚えておきましょう。
経済産業省はクレジットカード取引におけるセキュリティ対策の強化に向けた「実行計画2019」の中で、クレジットカード情報保護対策として、カード情報を保持しない(非保持化)ことと、PCI DSSに準拠することを挙げています。
参考:クレジットカード取引におけるセキュリティ対策の強化に向けた「実行計画2019」を取りまとめました (経済産業省)
PCI DSSに準拠しないことのリスク
PCI DSSに準拠しないことによるリスクを知ると、PCI DSSに準拠することの重要性が見えてきます。
PCI DSSに準拠せずにクレジットカード情報を扱っていると情報漏洩をはじめとするデータのセキュリティーリスクが高まります。クレジットカードに関する情報が漏えいした場合、罰金や保証など多くの費用が発生します。大規模な情報漏洩が発生し大手企業が対応に苦慮したというニュースを耳にしたことがある人もいることでしょう。報道されている賠償金などのほかにも、情報漏えいの原因調査やシステム改善後の監査まで、対応のための費用が経営に大きなダメージを及ぼすケースもあります。
多額の対応費用が必要となるだけでなく、情報漏えいが発生するとお客様や取引先からの信用を失いかねません。評判が一瞬にしてインターネットに広がり、その評判は半永久的にインターネット上に残る時代でもあるため、信用回復は簡単ではありません。
金銭面、信用面の両面から情報漏えいは防ぎたいところです。PCI DSSは、PCI SSCといういわばカード決済分野の専門審議会がさまざまな事例から策定したクレジットカードに関する情報を適切に扱うための基準で、これを生かさない手はありません。
PCI DSSに準拠するには?
まず、PCI DSSに準拠するための方法を見てみましょう。
はじめに現状で自身の事業がPCI DSSに準拠しているかしていないか知る必要があります。PCI SSCがウェブサイトで公開しているSAQ(Self Answering Question、自己問診)の問診票を使って自己診断できます。問診票は日本語訳も公開されています。
問診票、回答項目ともにかなりの分量があり、専門用語も頻出します。さらに問診を終えられたとしても、その結果、改善が必要な項目が出てくるかもしれません。ITや決済システムに精通した人は自己問診から改善まですべてこなすことができるかもしれませんが、自分ですべてをやりきる自信がないという人もいることでしょう。
このような場合、PCI DSSに準拠しているかどうか調査するサービスを利用するのも一つの手です。PCI SSCのウェブサイトでは認定企業によるサービスを検索できます。
参考:Qualified Security Assessors(PCI SSC)
PCI SSCが認定した企業のサービスであれば安心して監査を依頼し、改善点についてアドバイスを求めることができますが、少なくない費用がかかります。さらに監査は一度で終わりではなく、定期的に依頼することになります。事業規模にもよりますが、年間十万円から数百万円の費用を想定しなければなりません。中小企業の経営者としてはクレジットカードに関するデータは安全に扱いたいものの、できれば継続的かつ高額な出費は抑えたいところです。
簡単かつ費用をかけずにPCI DSSに準拠する
ここまで見てきたように中小規模の事業者がゼロから自力でPCI DSSに準拠するのはなかなか難しそうです。認定企業によるサービスを利用するにしても継続的に費用がかかります。
このような場合、PCI DSSに準拠した決済サービスを利用して、いわばPCI DSSに準拠する部分をアウトソースしてしまうという方法があります。
たとえば、Squareを利用してクレジットカード決済を受け付ける場合、Squareのサービスを利用する事業者はカード情報を保持せず、Squareがカード情報を処理、保存します。このようにカード情報を「非保持化」することで、事業者はPCI DSSに準拠しているか定期的にチェックする必要がなくなります。カード情報を保持するSquareがPCI DSSに対応することになります。SquareではPCI DSSに準拠したソフトウェアやハードウェアを提供しており、特別なプランを契約する必要はありません。
クレジットカード決済サービスの売り上げの数パーセントという手数料を高いと感じる経営者もいるかもしれませんが、セキュリティー基準に準拠する金銭的なコストや、万が一の情報漏洩を心配する心理的なコストを考えただけでも、PCI DSSに準拠したクレジットカード決済サービスの利用を検討する価値はあります。加えて、現金を扱わなくてよい、販売情報を一括管理できる、お客様や取引先の利便性を向上できるといったメリットもあります。
日々情報漏洩や不正使用のリスクを心配して恐る恐るクレジットカード決済を扱っている、クレジットカード決済の導入をためらっているという経営者もいるかもしれません。PCI DSSに未対応であることは、事業に大きなダメージを与える事態につながりかねませんが、安全な決済サービスを導入することで不安の大部分を解消できます。
本記事をきっかけにSquareをはじめとするクレジットカード決済サービスの導入を検討してみてください。
関連記事
・経営者なら知っておきたいGDPR
・保存義務有り!領収書の電子データ化のすすめ
執筆は2019年5月22日時点の情報を参照しています。
当ウェブサイトからリンクした外部のウェブサイトの内容については、Squareは責任を負いません。
Photography provided by, Unsplash