ECサイトで「カード情報を保存しますか?」に対する意外に多い誤解。


ECサイトなどでクレジットカード情報を入力する際に、「カード情報を保存しますか?」といったメッセージが表示され、「保存」というようなチェックボックスが出たりします。

今後もちょくちょく利用すると思えば「保存」にしたり、一過性の利用だろうと思えば保存させないというパターンだろうと思います。

なかには一過性の利用に過ぎないとしても事前登録制でカード情報が保存されてしまうケースもあります。

相手(ECサイト)がAmazonや楽天といった有名大手のサイトであれば保存されてもあまり心配はしなかったりしていますが、これがちょっと無名なサイトだったりすると少しばかり不安がよぎります。

まあ、個人情報がハッキングを受けて流出する場合は有名だろうが大手だろうがあまり関係ないというか、大手だからこそ宝の山なので狙われやすいわけですが、カード情報に限っていえば、ほとんどのサイトの場合、それぞれのECサイトが「保存」しているわけではありません。

ほとんどと書いたのは、一部にPCI DSS(クレジットカード情報保護のための統一的なセキュリティ基準)に準拠してカード情報を自社管理する環境を整えた大手のサイトもあるからです。

確かに過去にはセキュリティ堅牢ではないような中小のECサイトでもカード情報を保存していたり、最近までカード情報を保存はしていないにしてもサイトを「通過」していて、恣意的に入力情報をログ等に記録しようと思えばできてしまうサイトもありました。

しかしそういった(カード情報がサーバを通過するような)サイトは2018年6月施行の改正割賦販売法で、決済代行会社が決済サービスの方式の更新を強制的に求めていたので、基本的には無くなっているはずです。

この点は、ECサイト運営者や、システム会社、決済代行会社、カード会社ほかの金融機関の方々では常識だと思います。

(カード決済に詳しい方で、私の記述に修正が必要な箇所があればコメント欄にて教えてください)

逆に一般の方々のたぶん過半数は、ECサイトが「カード情報を保存しますか?」とメッセージが出ると、そのECサイトが保存しているとお思いではないでしょうか?

ECサイトが保存してないなら、誰が保存してるの?となるわけですが、そのECサイトが使っている決済代行会社で保存(ECサイトのIDとその人の使うクレジットカード情報を紐づけ)しているわけです。

例えば私がそのサイトで会員になった(ログインアカウントを持った)として、そのアカウント(会員ID)と使ったカード情報が決済代行会社にて紐づけられるわけです。

もし、別のECサイトで私が会員になって、そのECサイトも上記と同じ決済代行会社を使っていたとしても、各ECサイト間で共有はされません。

別のECサイトの会員IDと、やはりその時保存したカード情報が紐づけられるだけです。

保存して私がそのサイトでログインしてなにか購入しようとすると、決済カードの選択肢に登録したカードのブランドとカード番号の一部(下4桁とか)や有効期限が表示されます。

カードブランドとカード番号の一部(下4桁とか)と有効期限だけはサイトに提供されて、ユーザーに「このカードで決済ですね」と表示されるわけです。

最近では本人認証(3Dセキュア)と言って、クレジットカードのパスワードまで求めてくるECサイトも出始めました。

本人認証(3Dセキュア)はクレジットカードにパスワードを事前に登録してある場合、決済に際してそのカード会社のサイトに遷移してパスワードを求められるのですが、そのパスワードはECサイトはもちろん、決済代行会社でも保存されません。

さて、結局なにが言いたいかというと、単純に「カード情報はECサイトが保存している」という誤解が多いなあ、というだけの他愛もない話でした。

最後にもう一度書きますが、もっとカード決済に詳しい方で、私の記事に修正が必要なポイントがあればコメント欄にて教えてください。


コメントを残す

メールアドレスが公開されることはありません。

このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください