結論から申し上げると答えは、"No"です。
弊社が参加している日本カード情報セキュリティ協議会(JCDSC)では、クレジットカード情報を非保持化している企業の情報漏えい事件がたびたび話に上がります。
たびたび上がるということは、非保持化だけでは、セキュリティ対策としては不十分ということです。
※非保持化とは、自社で保有する機器・ネットワークにおいて、カード情報を電磁的情報として「保存」「処理」「通過」しないことを言います。詳細は下記をご参照ください。
経済産業省クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画2019
決済代行に任せても、その前が弱ければ意味がない
決済代行会社にクレジットカードの決済は任せて、自社の管轄範囲からクレジットカード情報を取り扱わないようにすれば、一見セキュリティ対策はもう完了したから「規定はクリアした」と思うかもしれません。
しかし、実際には、決済代行へつなぐ前の自社のECサイトの作りが弱ければ、情報を盗られる可能性は大いにあります。
実際の事例として、利用者が、攻撃者により改ざんされたECサイトのページから偽の決済画面に飛んでしまい、クレジットカード情報を入力したことにより、クレジットカード情報を盗まれてしまった事件が何件も報告されています。
いくら決済代行会社で決済をしているとは言っても、決済画面に行くまでのページを改ざんされてしまうと、非保持化をしていてもクレジットカード情報を盗まれてしまいます。
また、クレジットカード情報を使った決済は、決済代行会社に任せるとしても、名前や住所、メールアドレス、電話番号といった個人情報はどうでしょうか。
自社のECサイトから、上記のような個人情報をデータベースに送信していることも少なくないと思います。
自社のECサイトが弱ければ、個人情報を盗られるリスクがあります。
非保持化をしている企業のセキュリティ対策
では、非保持化しているECサイト運営企業は、自社のECサイトに対して、どのようなセキュリティ対策をすれば良いのでしょうか。
セキュリティ対策と言っても、その範囲は多岐に渡り、全ての対策をしていては費用も時間もかかります。
なにから対策すれば良いかわからない場合、弊社では脆弱性診断をおすすめしています。
複数の科目がある試験の対策をする際に、まずは過去問などを問いて現在の実力を測り、苦手なところを徹底的に対策すると思います。
セキュリティ対策も同じで、まずは脆弱性診断で、Webアプリケーションやネットワーク機器に対して診断を行ってセキュリティ上の問題点を洗い出し、弱いところを対策していきます。
脆弱性診断で見つかった課題をもとに対策を行うことで、効率良くセキュリティの強化ができます。
弊社では、専門の診断士がハッカーのような疑似攻撃を行う手動脆弱性診断から、年間契約でいつでも診断できるツールを使った自動診断までご用意しております。
ぜひ、お気軽にご相談ください。
まとめ
非保持化を達成したからといって、セキュリティ対策をしないのは、非常に危険です。
決済代行会社に任せているからといって安心せず、決済画面へ飛ぶ前の自社ECサイトの守りを固め、攻撃者に不正アクセスされないよう、対策をすることが重要です。
利用者が安全にショッピングを楽しめるよう、しっかりとしたセキュリティ対策を行っていきましょう。
