クレジットカードの非保持化とは？コールセンターにおける解決策

• カード決済
• PCI DSS

2022/12/27

• シェア
• Tweet

近年、EC事業を展開している企業を中心として、「クレジットカード情報の非保持化」が話題となっています。顧客のクレジットカードを狙った不正利用を防止するために、加盟店側にもセキュリティ対策の強化が求められているのです。コールセンターで提供しているサービスにおいても、顧客のカード情報を取り扱うケースが多くあるでしょう。早期にカード情報の非保持化へ取り組むためにも、実現する方法を押さえておくと安心です。

本記事では、クレジットカード情報の非保持化の基礎知識に始まり、コールセンターで安全な体制を実現する方法や、セキュアな決済サービスの導入事例までご紹介します。自社の体制の見直しを検討されているご担当者は、ぜひお読みください。

• お問い合わせ
• 資料請求

・クレジットカード情報の非保持化とは

　・クレジットカード不正利用対策の1つ

　・クレジットカード情報の非保持化が重要視されている背景

　・情報の非保持化は改正割賦販売法によって義務化されている

・クレジットカード・セキュリティガイドラインへの対応策

　・「PCI DSS」への準拠

　・データの非保持化

・コールセンターとクレジットカード情報の非保持化の関係

　・カード情報の保持とみなされる口頭でのヒアリング

　・コールセンターの現場でカード情報が漏えいしたケース

　・PCI DSSに準拠した体制構築の重要性

・コールセンターでクレジットカード情報の非保持化を実現する方法

　・SMSリンクを添付する

　・PCI DSSに準拠したコールセンターに依頼する

　・外回り方式を採用する

　・内回り方式を採用する

　・IVRでカード情報を取得する

・クレジットカードの非保持化に対応したサービスを提供するDHK（電話放送局）

　・DHKが提供するカード決済IVRサービスの特徴

　・コールセンターの運用に合わせて使い方が選べる

・DHKのカード決済IVRサービスの導入事例

　・サービスを導入した企業の事例1

　・サービスを導入した企業の事例2

・クレジットカード情報の非保持化に対応して安全なサービス提供を

近年ではキャッシュレス決済の普及にともない、クレジットカードを利用できる店舗やサービスが多くなり、生活者の利便性が高まりました。その一方で、クレジットカードを狙った不正利用被害が跡を絶ちません。自社の顧客を狙った悪意ある手口からカード情報を守るには、常に最新の情報漏えい対策を講じる必要があるでしょう。

そこで注目されているのが、「クレジットカード情報の非保持化」です。まずは、クレジットカード情報の非保持化が重要視されている背景を解説します。

「クレジットカード情報の非保持化」とは、クレジットカード不正利用対策の1つです。主にEC事業を展開している企業が、自社のネットワーク内でクレジットカードの情報を保存・処理・通過させない仕組みのことを、非保持化と呼びます。

クレジットカード情報を非保持化する目的は、会員情報の漏えいを防ぎ、カードを安全に使えるようにすることです。取引の際にカード番号やセキュリティコードを自社で一切保持しない仕組みを採用すれば、悪意のある第三者からこれらの情報を盗まれるリスクを避けやすくなります。

顧客のカード情報をあらゆる脅威から守ることは、クレジット取引に携わる事業者の責任であると考えられています。そのため、昨今では加盟店ごとに非保持化への対応が求められている状況です。非保持化に対応していない場合は、クレジットカード会社から加盟店契約を解除される可能性も考えられます。早急に非保持化へ向けた対応を検討しましょう。

クレジットカード情報の非保持化が重要視されている背景として、キャッシュレス決済の利用者が増加傾向にあることが挙げられます。経済産業省が公表したデータによると、2021年のキャッシュレス決済比率は32.5%を達成しました。その内訳を見ると、クレジットカードの割合は27.7%と大部分を占めており、ほかの決済サービスと比較して多くの生活者から利用されていることがわかります。クレジットカードはキャッシュレス決済において中心的な存在といえるでしょう。

政府は引き続きキャッシュレス化の推進を目指しており、2025年6月までにキャッシュレス決済比率40％の達成を目標としています。今後もクレジットカードを決済手段として利用する人はますます多くなると予想される状況です。こうした利用の増加にともない、クレジットカードの不正利用を防止するセキュリティ対策の強化が求められています。

【出典】2021年のキャッシュレス決済比率を算出しました（経済産業省）

国内では、令和2年に割賦販売法が改正されました。法改正の目的は、テクノロジーの進歩により登場した新たな技術やサービスを生活者が安全に利用できるよう、環境を整備することです。加盟店はカード情報の適切な管理や不正利用防止への取り組みの一環として、原則として情報を非保持化するよう義務づけられました。

改正割賦販売法を受けて、一般社団法人日本クレジット協会が非保持化の対策の指針を定めたものが、「クレジットカード・セキュリティガイドライン」です。加盟店はガイドラインに定められた措置を講じれば、改正割賦販売法の基準を満たしたことになります。ガイドラインの内容を踏まえて、法律に適した基準のセキュリティ対策を講じましょう。

【参考】クレジットカード・セキュリティガイドライン【3.0版】が取りまとめられました（経済産業省）

「クレジットカード・セキュリティガイドライン」に対応する上で、企業にはどのような取り組みが求められるのでしょうか。ここでは、2つの対策を解説します。

「PCI DSS」とは、クレジットカード会員の情報を保護することを目的とした、情報セキュリティの国際基準です。「Payment Card Industry Data Security Standard」を略してPCI DSSと呼ばれます。PCI DSSは、クレジットカードの国際ブランドが共同で策定した基準であり、12の要件と約400の要求事項から構成されています。PCI DSSに準拠するには、これらのすべてに対応することが必要です。

顧客のカード情報を自社の機器やネットワークで保持する場合、加盟店・銀行・決済代行会社（PSP＝Payment Service Provider）はPCI DSSに準拠しなければなりません。PCI DSSに準拠するには、認定セキュリティ評価機関による審査を受ける方法や、専用ツールを使って自己評価と報告を行う方法があります。自社で対応して厳しい要件を満たすには、多くのコストと時間がかかります。

データの非保持化とは、クレジットカード情報を自社で一切保持しない方式のことです。対応する際は、自社の機器やネットワークでカード情報の保存・処理・通過をさせない方法を導入することになります。EC事業者の場合は、決済システムに「非通過型」を採用する対策が有効とされています。

非通過型は、決済代行会社（PSP）側の機器やネットワークを通じて決済処理される仕組みです。そのため、EC事業者側の機器やネットワークでは、カード情報を保存・処理・通過することがありません。PCI DSSに準拠した決済代行会社にクレジットカード情報の取り扱いを委託することで、EC事業者が非保持化を実現できます。前述の通り、EC事業者が自社でPCI DSSに準拠するには多くの負担が生じます。一方で、PCI DSS準拠の決済代行会社に委託すれば、こうした負担を避けながら委託元のEC事業者まで準拠したとみなされるのです。

なお、カード情報を紙・PDF・音声通話のデータとして保存しているケースは、いずれもカード情報を保持しているとはみなされません。そのため、たとえこれらの状態でカード情報を保存していたとしても、前提として非通過型の決済システムが採用されていれば、非保持化に該当します。

ここまで、クレジットカード情報の非保持化について基礎知識を解説しました。それでは、コールセンターでクレジットカード決済サービスを提供している場合は、カード情報を保持しているとみなされるのでしょうか。電話応対業務におけるカード情報の非保持化についてお伝えします。

コールセンター業務では、オペレーターがクレジットカードで決済処理などを行うために、顧客のカード情報を聞き出すことがあります。その後、聞き出した情報をもとに、オペレーターや別の担当者が決済端末を操作することが一般的です。こうした電話口での聞き取りは、クレジットカード情報の保持とみなされるため、不正利用防止の取り組みが求められます。

コールセンターで顧客のカード情報をオペレーターが口頭でヒアリングしている場合、どのようなリスクが存在するのでしょうか。実際に発生した事例の中には、オペレーターによるカードの不正利用が発覚し、逮捕に至ったケースもあります。コールセンターのオペレーターは、電話応対業務の過程で顧客のカード情報を入手できる状態です。そのため、カード情報を聞き出したオペレーターによる内部不正のリスクを避けられません。こうしたケースを踏まえて、社内で発生する情報漏えいにも注意が必要です。

コールセンター運営においても、PCI DSSに準拠した体制の構築が重要視されるようになってきました。場合によっては、カード情報を適切に保護する目的で、委託元のカード会社などから急きょPCI DSS準拠を求められるケースもあり得るでしょう。PCI DSSは、クレジットカードや会員に関する情報を保存・処理するすべての事業者に適用されます。それは、コールセンターも例外ではありません。

反対にいうと、PCI DSSに準拠したサービスやシステム体制を有していることは、カード情報を取り扱うコールセンターにとって信頼性の観点から大きなアピールポイントとなり得ます。コールセンターでもクレジットカード情報の非保持化に対応して、セキュアな環境を構築しましょう。

オペレーターが口頭でカード情報をヒアリングする方法では、コールセンターがカード情報を保持しているとみなされます。それでは、コールセンターでカード情報の非保持化を実現するには、電話応対業務ではどのような対策に取り組めば良いのでしょうか。ここでは、「クレジットカード・セキュリティガイドライン」を踏まえて、コールセンターで顧客のカード情報を聞き出す際に使える方法を解説します。

コールセンターから顧客の連絡先にSMS（ショートメッセージサービス）を送る方式です。SMSとは、電話番号宛てにショートメッセージを送信できるアプリのことで、ほとんどのスマートフォンや携帯電話の端末に、初期状態でインストールされています。カード決済用のリンクを添付してSMSを送信すれば、顧客が自らアクセスして、サイト上で決済手続きを行うことが可能です。オペレーターを介さずにカード決済を実現できます。

PCI DSSに準拠した体制を持つコールセンターに決済処理を代行してもらう方式です。その際、自社のコールセンターで引き受けているすべての電話応対業務をアウトソーシングする必要はありません。電話応対業務のうち、カード決済に関する業務のみをPCI DSSに準拠した外部のコールセンターへ委託するなど、サービスのカスタマイズが可能です。外注が必要な部分のみサービスを利用できるので、予算の範囲でPCI DSS準拠のサービスを導入したいケースにも適しています。

外回り方式とは、クレジットカード会社から貸与されている端末上で決済する方式のことです。専用の決済端末を使う方法と、タブレット端末を使う方法があります。自社のシステムと連動しない独立した端末で決済するのが特徴で、カード情報は社内で保存・処理・通過しません。決済に必要な情報はオペレーターが代理で入力しますが、専用端末では不正利用のリスクを抑える仕組みが採用されているのが特徴です。たとえば、決済端末と連携する自社の業務用端末にはカード情報を表示せず、タブレット端末では自社の業務用端末と分離されたネットワークを利用し、セキュアな環境を保ちます。

内回り方式とは、決済情報を暗号化して処理を行う方式です。カード情報は社内で保存・処理・通過するものの、暗号化によってカード情報として認識されない形に変換して通信するため、データの非保持化に相当するとみなされます。決済に必要な情報はオペレーターが代理で入力しますが、暗号化によって解読が困難となるため不正利用のリスクが少ないとされています。既存のシステムをあまり変えずに非保持化が実現できる点が特徴です。

IVR（自動音声応答システム）を使って、オペレーターを介さずに顧客にカード情報を入力させる方式です。IVRとは、コールセンターのカスタマーサポート業務などで利用されるシステムのこと。自動音声ガイダンスで顧客を案内して、受付や手続きなどの対応を自動で完結させることができます。オペレーターが顧客の電話をIVRに転送すると、IVRの案内に従って顧客がプッシュ操作でカード情報を入力する流れです。その後は、IVRが決済代行会社と連携して、コールセンター側に決済結果を伝えます。安全かつスムーズにカード決済を行うことが可能です。

なお、IVRを利用したサービスは、オペレーターがカード情報を代理入力する方式でも対応できます。カード情報を自分で入力するのが困難な顧客に対しては、オペレーターがIVRにカード情報を代理入力する方法で決済可能です。顧客の要望に応じて、柔軟にカード決済に対応していただけます。

IVRのサービスについて、詳しくは以下の関連記事で解説しています。IVRが自動応答する仕組みや、コールセンターに導入するメリットにも触れているため、ぜひ参考にお読みください。

記事名：IVRとは？特徴やコールセンターに導入するメリット、サービスの選び方

コールセンターでクレジットカード情報の非保持化に対応するなら、DHK（電話放送局）のサービス「カード決済IVR」がおすすめです。当社のソリューションを電話応対業務のセキュリティ対策にお役立てください。

DHKの「カード決済IVR」は、クレジットカード情報の聞き取りをIVRで自動化し、コールセンターのセキュリティ対策を強化できるサービスです。PCI DSSの認証を取得しているため、安心してご利用いただけます。既存のコールセンターの環境をそのまま利用できるので、新たに設備投資をしていただく必要はございません。もちろん、従来の決済代行会社もご利用いただけます。貴社の運用に合わせて柔軟にカスタマイズが可能なため、お気軽にご相談ください。自社開発のIVRを利用するDHKでは、ご要望に応じて機能の追加や変更にも対応いたします。
なお、システムの詳細な仕組みや技術に関しては以下のサイト内で解説していますのでご覧ください。

【関連サイト】オンプレミスと Azure を組み合わせて PCI DSS 準拠のシステムを構築、電話放送局が見据える IVR サービスの未来像とは

・代理入力
オペレーターが顧客からクレジットカード情報を聞き取り、代理で入力する方式です。顧客に入力の手間をかけさせずに、電話決済を外部化できます。多くの顧客が自分でクレジットカード情報を入力するのが難しい傾向にある場合も、導入をご検討ください。

・直接入力
顧客がプッシュ操作でIVRに直接クレジットカード情報を入力する方式です。顧客がオペレーターにカード情報を伝えることなく、自身でカード決済を完結させられます。カード情報のヒアリングに抵抗がある方にも安心してサービスをご利用いただけます。

参考サイト：
https://www.dhk-net.co.jp/service/cardinput/

最後に、DHK（電話放送局）の「カード決済IVR」を導入した企業様の事例をご紹介します。サービスの導入により、具体的にどのような課題の解決が期待できるのでしょうか。コールセンターのセキュリティ対策を検討されるご担当者様は、ぜひお読みください。

大規模な通信販売事業に「カード決済IVR」を導入したA社の導入事例です。同社では、クレジットカード情報の非保持化へ対応するにあたり、PCI DSS準拠のサービスを検討していました。その際、複数のコールセンターの体制を整備するには、設備投資や運用の負担が大きな課題となります。そこで、導入・運用のコストを抑えやすいDHKのサービスが選ばれたのです。「カード決済IVR」なら、IVRの番号を用意するだけで、複数拠点でもカード決済に対応できるようになります。A社はコストの大幅な増加を防ぎながら、PCI DSS準拠のコールセンター体制の構築に成功しました。

非会員向けサービスの提供に「カード決済IVR」を導入したB社の導入事例です。同社では、非会員が単発にてサービスを利用するにあたり、電話口でカード決済を完結できる仕組みを運用していました。ところが、改正割賦販売法を受けて、クレジットカード情報の非保持化への対応が必須となったのです。そこで選ばれたのが、PCI DSS準拠でかつ多彩な決済代行会社との連携実績があるDHKのサービス。B社は既存の決済代行会社を変更することなく、利用者への影響を最小限に留めながら、セキュアな体制への移行を実現しました。

今回は、コールセンターにおけるサービス提供にも大きく関わる、クレジットカード情報の非保持化について解説しました。カード情報の非保持化は、改正割賦販売法でも義務づけられています。悪意ある手口から顧客のカード情報を守るために、加盟店側にもセキュリティ向上への対応が求められている状況です。しかし、新たな体制を構築する際は、社内の負担やコストが増加し、課題を抱えている企業も少なくありません。今後、非保持化の対策を実施するなら、お気軽にDHK（電話放送局）までお問い合わせください。PCI DSS準拠の「カード決済IVR」で、貴社のセキュアな体制構築をサポートいたします。

カード決済IVR

本資料では、IVR(自動音声応答)を活用した電話業務を自動化する手法や、IVRサービス提供会社を選ぶポイントを知ることができます。

【本資料は、下記の関心をお持ちの方におすすめです】
・コールセンターの電話業務をどこまで自動化できるのか知りたい
・自動化に適したコール内容を知りたい
・IVRやボイスボット導入により、自動化に成功した事例を知りたい

• シェア
• Tweet