EC事業者がクレジットカード決済を導入する際、カード情報の安全な取り扱いは、必ず検討しなければならない重要な課題です。
日本政府もキャッシュレス推進とあわせて、決済の安全向上に取り組んでおり、事業者が安全な環境でカード決済を提供できるよう、さまざまなガイドライン整備が進められています。

こうした背景から、カード情報を自社で扱わない非保持化に取り組む事業者が増え、EC サイトにおけるセキュリティ対策のひとつとして広く認識されるようになってきました。

本記事では、クレジットカード情報の非保持化の基本概念やその重要性、対応方法など、EC 事業者が行うべき対策をわかりやすく解説します。

目次

• クレジットカードの非保持化とは
  
• クレジットカード情報の非保持化の重要性
  
• クレジットカード情報の非保持化に対応する方法
  
• クレジットカード情報の非保持化対応の注意点
  
• EC 事業者が行うべきクレジットカードの不正利用対策
  
• Stripe Payments でできること
  

クレジットカードの非保持化とは

日本ではキャッシュレス決済の利用が拡大する一方で、クレジットカードの不正利用やチャージバックのリスクも増加しています。

日本クレジット協会の調査によると、2024 年のクレジットカード不正利用被害額は約 555 億円と過去最高となり、EC 事業は年々高度なセキュリティ対策を求められるようになっています。

経済産業省はクレジットカードセキュリティガイドラインを策定し、カード情報保護対策として、EC 事業者に以下のふたつのいずれかで対応することを求めています。

• クレジットカード業界の国際セキュリティ基準、Payment Card Industry Data Security Standard (PCI DSS) に準拠する
  
• 非保持化を実現する
  

ここで重要なのは、PCI DSS に準拠しようとするとシステム・体制・人材面で非常に大きな負担が発生するという点です。

PCI DSS は、ファイアウォール、ログ監査、暗号化、アクセス制御など、12 の要件と数百の要求事項からなる厳格な基準であり、すべてに対応するのは大変困難です。

だからこそ、多くのEC事業者は、自社で PCI DSS に準拠するのではなく、すでに PCI DSS に準拠している決済代行会社にカード決済の処理を委託しています。なぜならば、こうすることでクレジットカード情報に触れない「非保持化」を実現することができるからです。

非保持化を成立させるための条件

クレジットカード情報の非保持化とは、EC 事業者が顧客のカード情報を自社のサーバーやシステム上で保持しない状態を意味します。ただし、単にサイト内でクレジットカード情報を保存していなければよいというわけではありません。

具体的には、以下の 3 つをすべて満たす必要があります。

• カード情報を保存しない
  
• カード情報を処理しない
  
• カード情報を自社サーバーに通過させない
  

つまり、ユーザーが入力したカード情報が EC 事業者のサーバーを一切通過することなく、PCI DSS 準拠済みの決済代行会社へ直接送信される仕組みが求められています。

クレジットカード情報の非保持化の重要性

日本では日常の買い物やオンラインサービスでキャッシュレス決済が定着し、その利用は今も広がり続けています。こうした環境の変化を受け、経済産業省は、2025 年 6 月までにキャッシュレス決済比率を倍増し、4 割程度とすることを目指していました。しかし、2024 年の時点でキャッシュレス決済比率は 42.8% (141.0兆円 ) に達し、この目標はすでに前倒しで達成されています。

こうした状況を見ると、今後もキャッシュレス、そしてクレジットカード決済の利用は引き続き拡大していくことが予想されます。そうして、利用が増えるほど、情報漏えいや不正利用、チャージバックといったリスクへ向き合う必要性も高まっていきます。

クレジットカードがキャッシュレス決済の中心であり続ける以上、EC 事業者にとってカード情報をどう守るかは、これまで以上に重要なテーマになるでしょう。その中でも、カード情報を自社で持たずに運用できる非保持化は、事業者が安心してオンライン決済を導入し続けるための現実的なアプローチではないでしょうか。

クレジットカード情報の非保持化に対応する方法

クレジットカード情報の非保持化を進める際には、まず自社の決済フローが「通過型」か「非通過型」のどちらに該当するかを正しく把握することが重要です。

通過型は、カード番号が自社サーバーやネットワークを経由する方式で、ログやバックアップ、監視ツールなどに意図せず情報が残る可能性があります。
この場合、事業者はカード情報を保持する立場となり、PCI DSS への準拠が必須になります。

一方、非通過型は、カード情報が自社のシステムを通らない構造で、EC 事業者がカード情報を保持しない「非保持化」を実現できる方法です。
多くの EC 事業者は、PCI DSS 準拠の負担を避けるために、この非通過型を採用して非保持化する方法を選択しています。

リダイレクト型決済

リダイレクト、またはリンク決済型は、購入者を外部ページに遷移させて決済を行う方法です。
決済画面そのものを決済代行会社に委ねるため、EC 事業者側はカード情報を保存・処理・通過しないことになります。

また、メールや SNS で決済 URL を案内する、リンク決済方式も、この仕組みの一種として利用されています。
ただし、遷移先を書き換える攻撃など、フロントエンドを狙ったケースは報告されており、画面改ざん対策など基礎的なセキュリティ対策も同時に行う必要があります。

JavaScript 型

JavaScript 型 (トークン方式) は、カード番号を購入者のブラウザ上でトークン化し、事業者はトークンのみを受け取る方式です。
実際のカード番号は決済代行会社に直接送られるため、EC 事業者側では情報を扱わないことになります。

自社サイトのデザインを維持したまま導入しやすい点が利点ですが、JavaScript ファイルの改ざんによる漏えいリスクは否めないため、ファイル管理や脆弱性対策が重要とされています。

クレジットカード情報の非保持化対応の注意点

非保持化を導入することで、EC 事業者はカード情報を自社で扱わずに決済機能を提供できるようになりますが、実装や運用の状況によっては非保持化が成立しないケースもあります。ここでは、非保持化を適切に運用するためのポイントを整理します。

非保持化できない場合は PCI DSS 準拠が必須

非保持化と PCI DSS 準拠は、事業者が「どちらか一方を選択するもの」と誤解されがちですが、正確には次のように整理できます。

つまり、非保持化できない場合は、PCI DSS の負担をすべて負うことになる点に注意しましょう。
たとえば、カード番号が自社サーバーやネットワークを一度でも通過すると、EC 事業者はカード情報を保持していると判断され、国際カードブランドのセキュリティ基準である PCI DSS への準拠が必要となります。

先述したように、PCI DSS は技術・運用を含む、数多くの項目の基準を満たす必要があり、継続的な運用管理も求められることから、事業者にとって大きな負担になります。このため、多くの EC 事業者は非通過型の方式を採用し、カード情報を自社で扱わない形で非保持化を進めています。

意図せずカード情報が通過してしまうリスク

非通過型の方式を採用しても、実装方法によってはログ、バックアップ、テスト環境、監視ツールなどにカード番号が残ってしまう場合があります。
こうした一時的な記録が原因で、事業者自信は非保持化しているつもりでも、実際にはカード情報が通過していたと判断される可能性があります。

テスト時の動作確認やデバッグ設定がそのまま本番環境に影響することもあるため、開発から運用まで、カード情報がシステム内に取り込まれない設計を行う必要があります。

改ざんや脆弱性を悪用した攻撃への対策が不可欠

非通過型を採用している場合でも、EC サイト自体が改ざんされることで、カード情報が不正に取得されるケースが確認されています。不正な JavaScript を埋め込まれる手口は、サイト構造に依存せず、どの方式でも発生し得るため注意が必要です。

対策としては、ファイル改ざん検知、脆弱性管理、不要な権限の削除、CMS やプラグインの更新など、基本的なセキュリティ対策を継続的に行うことが求められます。

EC 事業者が行うべきクレジットカードの不正利用対策

非保持化によりカード情報を自社で扱わない仕組みを整えても、不正利用のリスクがなくなるわけではありません。オンライン決済では、カード情報の不正入手、海外からの高リスクアクセス、クレジットマスター、本人なりすましなど、さまざまな不正が起こり得ます。

3D セキュア 2 で本人認証を強化する

オンライン決済における本人認証の強化には、3D セキュア 2 が有効な手段とされています。
3D セキュア 2 では、端末情報、行動情報、取引内容などを元にリスクを判定し、高リスクの場合のみ追加認証を求めます。

正規ユーザーの利便性を保ちつつ、不正な利用者には追加認証で対処できるバランスの取れた対策が可能になります。

不正検知システムを活用してリスクを可視化する

3D セキュア 2 と併せて、Stripe Radar などの不正検知システムも活用することができます。
決済代行会社が提供する不正検知ツールは、IP アドレス、端末情報、取引履歴、購入行動などを総合的に分析し、取引ごとのリスクスコアを判断します。

このようなツールを利用することで、次のような取引パターンを自動で見分けることができます。

• クレジットマスターによる推測攻撃
  
• 海外 IP や VPN 経由の高リスクアクセス
  
• 金額・頻度・行動の急激な変化
  
• 国や地域ごとの不正傾向
  

海外発行カードの利用が増える越境 EC では、3D セキュア 2 や不正検知システムを導入することで不正利用リスクの低減が期待できるでしょう。

Stripe Payments でできること

Stripe Payments は、成長中のスタートアップからグローバル企業まで、あらゆるビジネスがオンライン、対面、および世界中で決済を受け付けられるようにする統合型のグローバル決済ソリューションです。

Stripe Payments でできること。

• 決済体験の最適化: 構築済みの決済 UI、125 種類以上の決済手段へのアクセス、および Stripe が構築したウォレットである Link により、スムーズな顧客体験を実現し、エンジニアリング工数を何千時間も節約できます。
  
• 新市場への迅速な展開: 195 カ国、135 以上の通貨で利用可能な越境決済オプションにより、世界中の顧客にリーチし、多通貨管理の複雑さとコストを軽減できます。
  
• 対面とオンラインの決済を統合: オンラインと対面のチャネル全体でユニファイドコマース体験を構築し、インタラクションをパーソナライズし、ロイヤルティを高め、収益を拡大できます。
  
• 決済パフォーマンスの向上: ノーコードの不正利用対策や承認率を向上させる高度な機能など、カスタマイズ可能で設定が簡単な決済ツールにより、収益を増やせます。
  
• 柔軟で信頼性の高いプラットフォームで迅速に成長: 過去の稼働率 99.999% と業界トップクラスの信頼性を備え、ビジネスの成長に合わせて拡張できるプラットフォーム上で構築できます。
  

Stripe Payments がオンラインおよび対面決済をどのように強化できるかについての詳細をご覧いただくか、今すぐ始めることもできます。