ECサイトのセキュリティ対策とショッピングカート
[2017年10月16日(Mon)]
割賦販売法改正の件、続きです。9月に政省令案のパブコメが行われました。最終版は、追ってこちらで公表されると思います。
EC加盟店の義務となったクレジットカード情報の漏洩対策は、何度もお伝えしている通り、「非保持」が基本です。カード番号を保有したり自社サーバを通過させたりする場合には、PCI-DSSなどのセキュリティ対策が必須となります。
そうは言っても、EC加盟店が、一から十まで自分でシステムを構築し、管理しているケースはあまりないと思われます。独自ドメインの店舗では、ASPでショッピングカートを利用していることが多いのではないでしょうか。
EC加盟店としてはカード情報を「持っていない」と思っていても、これまで、PSP(決済代行会社)に決済情報が流れる過程で、カート事業者のサーバにクレジットカード情報が残ってしまう場合があったようです。そこへの不正アクセス等で顧客のカード情報が漏洩する、という事態が最近も話題になりました。
今般の改正法では、このように、カート事業者のセキュリティが不十分なことによる漏洩も、EC加盟店の責任となります。法律をきっちり守るためには、外注先をきちんと選んでくださいね、ということです。
オープンソースのECパッケージソフトや開発会社が作ったシステムを自社サーバにインストールしてECを運用する場合も、それらのシステムの脆弱性等に起因する漏洩については、一義的にはEC加盟店が責任を負います。「責任」というのは、割賦販売法における義務履行の責任と、顧客に対する民事上の責任の両方の意味と思ってください。
システム自体に問題があった場合は、開発元に対する損害賠償の問題となり得ますが、開発元からアップデート情報が提供されていたのにEC加盟店がスルーしていたりすると、損害賠償は難しくなってしまいます。
大手のPSPは、自らはPCI-DSSに準拠した上で、EC加盟店が「非保持」を実現するための仕組み=「リンク型決済」あるいは「JavaScriptによるトークン決済」をメニューとして用意しているはずです。カートのシステムがこれらに対応していない場合は、そのカートを利用しているEC加盟店は「法律を守れない」状態となってしまいます。(ECサイト自身がPCI-DSSに準拠していれば別ですが。)
実は、クレジット取引セキュリティ対策協議会が策定した「クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画2017」では、プレイヤーとしてEC加盟店とPSPは出てきますが、カート事業者が全く登場せず、位置付けがよくわからないのです。現在、「実行計画2018」に向けて改訂作業が進められているとのこと、その中で、カート事業者の役割や位置付けが明確になることを期待しています。
また、法律上、カート事業者が「クレジットカード番号等取扱受託業者」(改正法第35条の16第3項)に当たるのか、という点も明確にしていただきたいと思っています。何故なら、カート事業者がこれに該当する場合、EC加盟店は、「経済産業省令に定める基準に従い」、カート事業者に対し「必要な指導その他の措置を講じなければならない」とされ、委託先の管理という、結構重たい義務がかかることになるからです。
(追記)
この点、経産省では、カートと加盟店との契約内容などを踏まえて判断する必要があるので、現時点では、カート事業者が「クレジットカード番号等取扱受託業者」に該当するかどうかは保留、とのことでした。
実務がどうなっているか、契約関係を含めて経産省に詳しくご説明いただける事業者さんがいらっしゃいましたら、沢田あてにメッセージをいただければ幸いです。
EC加盟店の義務となったクレジットカード情報の漏洩対策は、何度もお伝えしている通り、「非保持」が基本です。カード番号を保有したり自社サーバを通過させたりする場合には、PCI-DSSなどのセキュリティ対策が必須となります。
そうは言っても、EC加盟店が、一から十まで自分でシステムを構築し、管理しているケースはあまりないと思われます。独自ドメインの店舗では、ASPでショッピングカートを利用していることが多いのではないでしょうか。
EC加盟店としてはカード情報を「持っていない」と思っていても、これまで、PSP(決済代行会社)に決済情報が流れる過程で、カート事業者のサーバにクレジットカード情報が残ってしまう場合があったようです。そこへの不正アクセス等で顧客のカード情報が漏洩する、という事態が最近も話題になりました。
今般の改正法では、このように、カート事業者のセキュリティが不十分なことによる漏洩も、EC加盟店の責任となります。法律をきっちり守るためには、外注先をきちんと選んでくださいね、ということです。
オープンソースのECパッケージソフトや開発会社が作ったシステムを自社サーバにインストールしてECを運用する場合も、それらのシステムの脆弱性等に起因する漏洩については、一義的にはEC加盟店が責任を負います。「責任」というのは、割賦販売法における義務履行の責任と、顧客に対する民事上の責任の両方の意味と思ってください。
システム自体に問題があった場合は、開発元に対する損害賠償の問題となり得ますが、開発元からアップデート情報が提供されていたのにEC加盟店がスルーしていたりすると、損害賠償は難しくなってしまいます。
大手のPSPは、自らはPCI-DSSに準拠した上で、EC加盟店が「非保持」を実現するための仕組み=「リンク型決済」あるいは「JavaScriptによるトークン決済」をメニューとして用意しているはずです。カートのシステムがこれらに対応していない場合は、そのカートを利用しているEC加盟店は「法律を守れない」状態となってしまいます。(ECサイト自身がPCI-DSSに準拠していれば別ですが。)
実は、クレジット取引セキュリティ対策協議会が策定した「クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画2017」では、プレイヤーとしてEC加盟店とPSPは出てきますが、カート事業者が全く登場せず、位置付けがよくわからないのです。現在、「実行計画2018」に向けて改訂作業が進められているとのこと、その中で、カート事業者の役割や位置付けが明確になることを期待しています。
また、法律上、カート事業者が「クレジットカード番号等取扱受託業者」(改正法第35条の16第3項)に当たるのか、という点も明確にしていただきたいと思っています。何故なら、カート事業者がこれに該当する場合、EC加盟店は、「経済産業省令に定める基準に従い」、カート事業者に対し「必要な指導その他の措置を講じなければならない」とされ、委託先の管理という、結構重たい義務がかかることになるからです。
(追記)
この点、経産省では、カートと加盟店との契約内容などを踏まえて判断する必要があるので、現時点では、カート事業者が「クレジットカード番号等取扱受託業者」に該当するかどうかは保留、とのことでした。
実務がどうなっているか、契約関係を含めて経産省に詳しくご説明いただける事業者さんがいらっしゃいましたら、沢田あてにメッセージをいただければ幸いです。