オンラインショッピングでのクレジットカードにまつわる安全対策

alt text

いつでもどこでも手軽に買い物ができるオンラインショッピング。クレジットカード情報を入力するだけで支払いができる便利さから、クレジットカード決済を選ぶ利用者が増えています。

総務省が2016年7月に発表した「平成27年通信利用動向調査」の結果では、インターネットで買い物をする際の決済方法として、「クレジットカードを利用する」が69.2%と最も高く、5年前の平成22年調査時の50.1%から20ポイント近く増えています。

一方、一般社団法人日本クレジット協会の調査では、2018年1月から9月までのクレジットカード不正利用による被害総額は165.7億円、うち約8割がカード番号の盗用による被害だとわかりました。

お客様に安心して買い物をしてもらうためにも、万全のセキュリティー対策を取ることは、オンラインショッピングビジネスを運営していくには不可欠です。今回は、クレジットカードの不正利用とその対策方法について解説します。

参考:
クレジットカード不正利用被害の発生状況(一般社団法人日本クレジット協会)
平成 27 年通信利用動向調査の結果 (総務省)
平成 22 年通信利用動向調査の結果 (総務省)

被害の多い番号盗用とは

alt text

被害総額の8割を占める番号盗用とは、クレジットカードの番号や有効期限などの情報を盗み、不正に使う犯罪です。盗んだカード番号や有効期限などの情報を使い、対面取引をしないオンラインショッピングでカード所持者本人に「なりすまし」て買い物をすることを指します。宝飾品やチケット、高額な家電製品といった換金性・流通性が高いものを購入し、すぐに転売し、現金化することが目的です。

クレジットカード本体が盗難された場合と比べると、情報だけを盗まれて使われてしまうため、被害者は不正利用に気づきにくく、また日本国内だけでなく世界中で悪用されてしまうという特徴があります。

番号盗用が起こる要因

番号盗用が起こる要因として、個人情報の漏えいが挙げられます。情報漏えいの経路は、カードの盗難や紛失などもありますが、ネットショップから漏えいする場合もあります。主に以下の経路が考えられます。

スパイウェア
本人が気づかぬ間に不正なソフトウェアやアプリがインストールされ、個人情報を盗み取られる。

サーバーハッキング
ウェブサーバーなどの脆弱性を突いてデータベースに不正侵入され、個人情報が盗み出される。

人的ミス
メールの誤送信や顧客情報の管理ミスなど、人的ミスによって情報が漏えいする。

ネットショップのセキュリティー対策

alt text

情報の漏えいを防ぐために、ネットショップではどのような対策を取ることができるでしょうか。

日本ネットワークセキュリティ協会と長崎県立大学が行った調査では、個人情報漏えいの原因として「誤操作」(25%)、「紛失・置き忘れ」(21%)、「不正アクセス」(17%)、「管理ミス」(13%)が挙がっています。

人的ミスの防止とシステムのセキュリティー強化が重要であることがわかります。

参考:2017年情報セキュリティインシデントに関する調査報告書【速報版】(NPO日本ネットワークセキュリティ協会セキュリティ被害調査ワーキンググループ、長崎県立大学情報システム学部情報セキュリティ学科)

スマホやタブレットでカード決済を受け付ける

Squareでカード決済
無料のアカウントを作成

人的ミスを防止するには

セキュリティーへの意識を向上させる
従業員一人ひとりのセキュリティーへの意識を高めましょう。扱っている情報が繊細なものであり、漏えいした場合は損害賠償を求められることもあるという危機意識を普段からもつようにすることが大切です。

定期的に個人情報保護研修を開催するのも有益です。どのような情報が個人情報にあたるか、個人情報の管理方法、漏えいした場合の対処方法など、具体例を交えて個人情報保護への意識を高めることができます。また、ネットショップ上に掲載しているプライバシーポリシーを従業員全員で読み直し、必要に応じて修正をするなどの機会をもつのも意識向上に役立つでしょう。

ハード面での管理を徹底する
たとえば、私物のパソコンで作業をしたり、会社のパソコンを無断で外へ持ち出したりすることは厳禁です。また、USBなどの記録媒体で個人情報を管理することも、紛失や置き忘れの要因となりえます。ウイルス感染の可能性も考え、私物のパソコンやスマートフォンを社内のネットワークに接続するのは制限するようにしましょう。

セキュリティー対策ソフトの導入
ビジネスで利用しているパソコン、スマートフォン、タブレットなどすべてのデバイスにセキュリティー対策ソフトを導入しましょう。OSとあわせて、対策ソフトも常に最新のバージョンにアップデートしておくのを忘れないよう気をつけましょう。

システムの強化

2018年6月1日に施行された改正割賦販売法では、クレジットカードを取り扱う事業者に対してセキュリティー対策を義務化しています。事業者はカード情報を保持しない、またカード情報を保持する場合はクレジットカード業界の国際的なセキリティ基準PCI DSS(Payment Card Industry Data Security Standard)に準拠することが求められます。

加えて、オンライン上の取引ではパスワードによる本人認証に加え、セキュリティーコードを利用するといった多面的で重層的な不正使用対策が求められます。

セキュリティーコードの導入
セキュリティーコードは、クレジットカードの裏面または表面に記載された3桁または4桁の番号です。オンラインでの決済の際、クレジットカード番号と一緒に入力することで、本人認証を強化します。カードをもっている会員だけが知っている番号であるがゆえに不正利用対策に有効とされていましたが、カード番号と共に漏えいるケースもあるため、他の対策と併用して利用することが推奨されています。

3Dセキュア認証サービスの導入
3Dセキュア認証サービスは、クレジットカード会員がカード会社に事前登録したパスワードを、クレジットカード決済時に入力して本人確認を行うサービスです。パスワードの入力はカード会社が用意した別のページで行うため、パスワードがネットショップ側に流れることはありません。ビザ・インターナショナルが開発し、現在はVisa、Mastercard、JCBなどの国際ブランドが採用しています。決済時に一手間かかるため、注文が決済に至らないことがあるというデメリットもあります。

参考:3-Dセキュア普及の理由、初期開発メンバーインタビュー(2012年10月11日、ScanNetSecurity)

ひとたび情報漏えいが起これば、顧客からの信頼だけでなく、社会的信用が損なわれることになります。自社のサイトは問題が解決されるまで閉鎖せざるを得ず、売り上げも減少してしまいます。また、お詫びなどの顧客への対応や、原因の調査、システム改修の費用もかかってしまいます。長く安心して付き合えるネットショップになるためにも、人的ミスの防止とシステム強化の対策を定期的に見直すことをおすすめします。

関連記事

PCI DSSとは:事業者が知っておくべき安全なカード情報の取り扱いのはなし
クレジット決済は必須!?数字で見るオンラインショップの動向

執筆は2019年3月6日時点の情報を参照しています。
当ウェブサイトからリンクした外部のウェブサイトの内容については、Squareは責任を負いません。
Photography provided by, Unsplash

さらに詳しく

クレジットカード決済を導入する

Visa、Mastercard、American Express、JCB、Diners Club、Discoverの6ブランドが利用可能です。

無料アカウントを作成

詳細はこちら

最新の情報や使い方のヒントなどを直接あなたのメールボックスへ。

事業成長やマーケティング、会計のヒントなどの特集やアドバイスが満載。