「クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画2017年版」(以下「実行計画2017」)では、前年版の実行計画において扱いが曖昧だった電話、ハガキでカード決済処理を受けつけるMail-Order/Telephone-Order(以下、MOTO)加盟店の取扱いが明確化された。「実行計画2017」の発行後、多くのMOTO加盟店がこの非保持化対応に試行錯誤している状況である。
一般的な通販事業者のカード決済処理
実行計画2017では、カード加盟店における非保持化の条件として、「カード情報を保存する場合、 紙の伝票のみで処理し、自社で保有する機器において「カード情報」を『保存』、『処理』、『通過』しないこと」を求めている。
一般的にテレフォンオーダーでクレジットカードによる決済を行う場合、以下の手順で行われる。
1)顧客は電話でコールセンターのオペレーターにカード番号と有効期限を伝える
2)それらの情報をオペレーターが自社のパソコンで決済代行事業者(PSP)の提供する決済処理画面に入力し、インターネット経由で伝送する。
3)PSPを経由して決済処理をし、結果を戻す。
4)決済処理が完了したとしてオペレーターが受注を確定する。
テレフォンオーダーの受注フロー
2)でカード情報をPSPに伝送するために使用するパソコンは、「自社で保有する機器」である。つまりこの時点で、「カード情報」が『通過』することになるため、非保持とはみなされない。すなわちPCI DSS準拠が必要となる。例えばそのパソコンがキーロガーなどのマルウェアに感染して、データとして入力したカード情報が外部に流出する可能性がある。そのような事態は容易に想像できるため、それらのパソコンやファイアウォールに対してPCI DSSのコントロールが必要になる。非保持化」が困難な理由
ではMOTO加盟店が「カード情報非保持」の条件を満たすためには、どのようにすればいいだろうか。
「実行計画2017」では、スーパーマーケットや飲食店などの対面加盟店では、CCT及び同等のセキュリティ措置がされた決済端末のみで決済処理する場合は、「外回り方式」として非保持扱いになっている。
よって通販事業者などMOTO加盟店が、この方式をとった場合も非保持と解釈されるだろう。すなわち、「顧客から電話もしくは紙媒体で伝えられたカード情報を、PCではなく、CCTなど専用の決済端末に金額と共に1件ずつ入力し、独立した通信回線で決済処理する」という方法をとれば、「カード情報非保持」の条件を満たしていると考えられる。
加えて、この方式を採用したMOTO加盟店が、カード情報が含まれる紙の情報、それらをPDFにしたものや通話録音データを取引記録として保存していたとしても、それらは非保持扱いになる。
決済処理件数が少ないMOTO加盟店であれば、この方法での非保持化も不可能ではない。また古くからカード処理をしている通販事業者からすれば、昔の方法に戻るととらえるかも知れない。しかし、一定以上の取引規模の通販事業者などMOTO加盟店では、この方法への移行は現実的でないだろう。取引規模が多いMOTO加盟店では、決済処理をするPSP画面と受発注システムが連動するなど、決済業務が効率化されているためである。
