「カード情報の非保持化って、よく聞くけど何のこと?」
「うちのECサイトも対応しないといけないの?」
「PCI DSSとは何が違うの?」
ECサイトを運営していると、「カード情報の非保持化」という言葉に必ず出会います。クレジットカード決済を扱う事業者にとって、セキュリティ対策の要となる考え方です。
この記事では、カード情報の非保持化とは何かという基本から、求められる背景、実現する方法、そしてEC事業者が取るべき対応までを、わかりやすく解説します。
カード情報の非保持化とは?
カード情報の非保持化とは、事業者が自社のシステムやサーバーに、クレジットカード番号などの情報を「保存しない・持たない」状態にすることです。カード情報を手元に持たなければ、万一システムが不正アクセスを受けても、カード情報が漏れる心配がありません。
「保持しない」とはどういうことか
具体的には、カード番号・有効期限・セキュリティコードといった情報を、自社で「保存しない」だけでなく、「処理・通過させない」状態にすることを指します。カード情報は決済代行会社など専門の事業者側で扱い、加盟店のシステムには残さないようにします。
たとえば、注文時にお客様が入力したカード番号を自社のデータベースに保存していると、それは「保持している」状態です。非保持化では、そもそもその情報を自社に取り込まない仕組みにします。
非保持化が求められる背景
非保持化は、クレジットカード業界の安全対策をまとめた「実行計画」や、割賦販売法(かっぷはんばいほう)にもとづく要請として、EC事業者に広く求められています。カード情報の漏洩事故が相次いだことを背景に、業界全体でセキュリティ水準を引き上げる流れの中で重視されるようになりました。割賦販売法については割賦販売法とはで解説しています。
クレジットカードを扱うEC事業者は、原則としてこの非保持化(または同等のセキュリティ対策)が求められます。「対応していない」状態は、情報漏洩リスクだけでなく、加盟店契約上も問題になり得ます。
なぜ非保持化が重要なのか

情報漏洩リスクを根本から減らせる
最大の理由は、情報漏洩リスクを大幅に下げられることです。そもそもカード情報を持っていなければ、盗まれるものがありません。漏洩事故は、事業者にとって多額の損害賠償や信用の失墜につながる重大なリスクです。非保持化は、そのリスクの根本を断つ対策といえます。
実際、過去のカード情報漏洩事故の多くは、事業者が保持していた情報が狙われたものでした。持たなければ狙われない——これが非保持化の考え方の核心です。
PCI DSSとの関係
カード情報を自社で保持・処理する場合は、国際的なセキュリティ基準である「PCI DSS」への準拠が求められます。PCI DSSへの準拠は負担が大きいため、多くの中小事業者は「そもそもカード情報を持たない(非保持化する)」ことで、対応の負担を大きく軽減しています。PCI DSSの詳細はPCI DSSとはをご覧ください。
つまり、非保持化は「PCI DSSへのフル準拠という重い対応を避けつつ、安全性を確保する」ための現実的な選択肢でもあります。中小規模のEC事業者ほど、このメリットは大きくなります。
カード情報の非保持化を実現する方法

非保持化には、主に2つの方式があります。どちらも、カード情報の入力・処理を決済代行会社側で行う仕組みです。
リダイレクト(リンク)型
決済のタイミングで、決済代行会社の画面へ遷移(リダイレクト)し、そこでカード情報を入力してもらう方式です。カード情報が加盟店のサイトを通らないため、シンプルに非保持化を実現できます。
ただし、決済時に別画面へ移動するため、デザインの一貫性や離脱率の面で気になる場合があります。導入の手軽さと引き換えに、購入体験がやや途切れる点は理解しておきましょう。
JavaScript(トークン)型
加盟店サイト上で入力されたカード情報を、決済代行会社へ直接送信し、代わりに「トークン」と呼ばれる無意味な文字列を受け取る方式です。加盟店のサーバーにはカード情報が残らず、見た目は自社サイト内で決済が完結します。トークンの仕組みはトークン決済とはで解説しています。
この方式は、自社サイト内で決済が完結するため購入体験がスムーズです。一方で、実装や運用の要件がリダイレクト型よりやや複雑になる傾向があります。自社の体制に合わせて選ぶとよいでしょう。
「非保持」と「非通過」の違い

似た言葉に「非通過」があります。「非保持」はカード情報を保存しないこと、「非通過」はカード情報が自社システムを通り抜けもしないことを指します。より安全性が高いのは、保存も通過もしない「非保持・非通過」の状態です。上で紹介したリダイレクト型やトークン型は、この状態を実現するための代表的な方法です。
「カード情報を保存しているつもりはない」という場合でも、システムを通過していれば対策が必要になることがあります。自社の決済フローで、カード情報がどこを通り、どこに残るのかを確認することが第一歩です。
EC事業者が取るべき対応

結論として、多くのEC事業者にとって現実的な対応は、「決済代行会社を利用して非保持化を実現する」ことです。決済代行会社が提供する仕組み(リダイレクト型やトークン型)を使えば、自社でカード情報を持たずに決済を導入できます。
新たにECを始める場合は、最初から非保持化に対応した決済代行を選べば、追加の対応は不要です。既存サイトも、決済まわりを見直す好機に切り替えを検討しましょう。
これにより、重いセキュリティ対応を自前で抱えることなく、安全にクレジットカード決済を提供できます。決済代行の仕組みは決済代行とは、導入の流れはクレジットカード決済の導入方法をご覧ください。あわせて、業界のセキュリティ指針はクレジットカード・セキュリティガイドラインも参考になります。
「安全に決済を導入したい」「非保持化に対応したい」という場合は、無料診断で自社に合った方法を確認できます。
カード情報の非保持化に関するよくある疑問
非保持化すればPCI DSSは不要?
非保持化により対応の負担は大きく軽減されますが、事業の内容によっては一定の対策が引き続き求められる場合があります。決済代行会社に確認するのが確実です。
すでにカード情報を保存している場合は?
早急に非保持化への移行を検討すべきです。保持している限り、漏洩リスクとPCI DSS対応の負担が残ります。決済代行の仕組みへの切り替えが現実的な解決策です。

