支払い情報を安全に保管して、よりスムーズな顧客の支払いを実現

2023年、世界における金融詐欺の被害額は1兆米ドルに及びました。¹ 米国だけでも、80%の組織が支払い詐欺の被害または未遂被害に遭っており、その数は2022年から15ポイント増加しています。² オンラインの支払方法の進化と比例してデータ侵害や詐欺も巧妙化し、検出が困難になっています。

そこで頼りになるのが、決済サービスプロバイダ(PSP)です。PSPは、事業者が顧客の支払い情報をより安全に保管するために必要なツールを提供します。これらのツールには、購入の有無にかかわらず、支払方法トークンAPIを使用した支払方法の保存が含まれます。これにより事業者は、支払いデータを安全に保ち、PCI DSSコンプライアンスをより適切に維持して、詐欺やデータ侵害のリスクを軽減することができます。

支払い情報を安全に保管し、支払い時のカスタマーエクスペリエンスを向上させる方法をご覧ください。

支払い情報保管庫とは

支払い情報保管庫は、今後の購入に向けて、支払い情報を安全に保管できるツールです。ほとんどの支払い情報保管庫は、デビットカードやクレジットカードなど、複数の支払方法を保管します。支払い情報保管庫では、カード番号(PAN)、有効期限、名前、請求先住所を安全に保管することができます。

ペイメントゲートウェイとは

支払いゲートウェイは、購入後に、事業者と銀行または決済機関との間の安全な取引を促進するデジタルサービスです。つまり支払いゲートウェイは、各顧客の支払い情報が安全に送信および認証される上で重要な役割を果たし、これにより、事業者が支払いを受け取ることができるようになります。

では、支払い情報保管庫とペイメントゲートウェイの違いとは何なのでしょうか? 支払い情報保管庫は顧客の支払い情報を安全に保管します。一方、ペイメントゲートウェイは、その情報にアクセスして決済機関に送信し、取引の承認と完了を支援する役割を担います。

トークン化の仕組みについて

支払い情報を安全に保管した後、支払い情報保管庫は一意の番号であるトークンを提供します。このトークンは、保管された顧客の支払方法の代わりとして機能します。このトークンは顧客のリピート取引に使用されるため、顧客に再度支払い情報の入力を求める必要はありません。

売り手は、顧客に支払方法の再入力を求める代わりに、このトークンを使用することができます。このトークンは事業者にのみ関連付けられるもので、事業者のみが使用できます。

事業者が保管するのはトークンであり、決済サービスプロバイダが支払いの詳細を支払い情報保管庫に保管しているため、データ侵害の可能性を減らすことができます。また、これらのリスクにさらされることがなくなるため、PCI DSSコンプライアンスの負担を軽減することも可能です。

支払方法を保管庫に保管するべきタイミング

支払いを安全に保管するべきタイミングはいくつかあります。以下はその例と方法です。

• 顧客が購入を行った場合
• 顧客が今後の購入のためにアカウントを設定した場合
• お客さまが定期支払いまたはサブスクリプションの支払いを提供する場合

顧客が購入を行った場合

顧客が購入を行っている間に、今後の購入のために支払い情報を保存するかどうかを尋ねることができます。この場合、顧客は支払い手続きを完了し、今後の購入に向けて支払い情報を保管することに同意する必要があります。

顧客が今後の購入のためにアカウントを設定した場合

顧客が購入を行わずにアカウントを設定した場合、顧客は、今後の購入に向けて支払い情報をプロフィールで保管することに同意する必要があります。

定期支払いを提供する場合

サブスクリプションなどの定期支払いを設定するには、顧客の支払方法を保存し、スケジュールに基づいて顧客に請求する必要があります。

3Dセキュアによる顧客の支払い情報の保護

3Dセキュア(3DS)は、クレジットカードおよびデビットカードの支払い情報を保護するために作成されたプロトコルです。これにより、事業者は各取引の3つの異なるドメイン(売り手、カード発行会社、相互運用性ドメイン)を使用して、より正確で安全な認証手続きを実行できます。

たとえば、3DSが有効になっている場合、顧客は携帯電話にパスコードを送信して本人確認を行うよう求められる場合があります。一方、銀行は、カードネットワークトークンや生体認証など、最大100のデータポイントを使用して取引を認証するため、顧客の支払い体験を向上し、事業者に対する承認を増加させることができます。

PCI DSSコンプライアンスの要件とは

事業者は、顧客情報を保護して各取引を安全に処理するために、Payment Card Industry Data Security Standards (PCI DSS)の要件を順守する必要があります。

特に支払いデータの保管について、事業者は、PCI DSSの要件を満たすための措置を講じる必要があります。

• 顧客データを保管するシステムのファイアウォール設定をインストールし、管理する
• 暗号化と業界で認められているアルゴリズムを使用して、保管されているカード保有者データを保護する
• オープンネットワークまたはパブリックネットワークで送信されるカード保有者のデータを暗号化する
• 組織内で権限のあるユーザーを指定し、カード保有者データへのデジタルアクセスと物理的アクセスを制限する
• システムでセキュリティテストと脆弱性テストを実行して、弱点を検出する

支払い情報を保管するメリット

保管庫の決済ソリューションは、以下のように売り手と顧客にとって多くのメリットがあり、より安全で信頼性の高い取引を実現します。

• より迅速でシームレスな支払い体験を提供
• 機密性の高い顧客の支払いデータを保護
• PCIコンプライアンスの維持をサポート
• リピート顧客による取引の増加をサポート

迅速でシームレスな支払い体験を提供

支払い情報保管庫を利用することで、リピート顧客に対して、迅速かつ便利で、よりシームレスな支払い体験を提供できます。これにより、顧客は支払い情報を再度入力する必要がなくなります。支払方法を安全に保管することで、購入完了までの手順が減り、顧客が少ないクリック数で取引を完了できるようになります。

機密性の高い顧客の支払いデータを保護

ペイパルの保管庫のような安全なオンライン決済ソリューションは、顧客の機密情報を保護し、データ侵害のリスクを軽減するのに役立ちます。これは、顧客データをトークン化し、決済サービスプロバイダで安全に保管することによって行われます。

PCIコンプライアンスの維持をサポート

決済サービスプロバイダで支払い情報を保管することで、事業者はPCI DSS評議会によって設けられた基準を満たし、維持することができます。これらのPCIコンプライアンス基準に従って、売り手は次のことを行う必要があります。

• 安全なネットワークの維持
• カード保有者のデータの保護
• 脆弱性の管理と防止
• アクセスに対する認証の要求
• ネットワークの定期的なテストと監視
• 情報セキュリティに関するポリシーの設定

支払い情報保管庫を利用した売り手は、PCIコンプライアンス基準の責任を決済サービスプロバイダに譲渡できます。また、支払い情報保管庫を利用することで、欧州連合(EU)の一般データ保護規則(GDPR)やカリフォルニア州消費者プライバシー法(CCPA)など、他のデータプライバシー基準を満たすことも可能です。

リピート顧客による取引の増加をサポート

売り手であれば誰しも、顧客にシンプルかつ簡単な購入体験を提供し、再び購入してもらいたいと考えるでしょう。この目的を果たすのが支払い情報保管庫です。これを利用して支払方法を安全に保管することにより、顧客に安心感を与えることができます。また、顧客のリピート購入における支払い体験の迅速化および簡易化も実現します。

ペイパルによる支払いの安全維持

ペイパルは、事業者が支払い情報を安全に保ち、PCI DSSコンプライアンスを維持するのに役立つさまざまなソリューションを提供しています。事業者は、ペイパルの支払方法トークンAPIを利用して、ネットワークトークン化により顧客情報をより安全に保管および暗号化できます。実際、ペイパルは世界最大のトークンサービスプロバイダの1つであり、10億を超えるネットワークトークンを処理しています。

ペイパルは、今後の購入に向けて支払い情報を保存するだけでなく、高度な機械学習と分析を活用した24時間年中無休の不正検出により、事業者と顧客の両方を保護します。また、ペイパルでは売り手保護制度^*を提供しており、これにより、経済的損失による影響の軽減、異議の解決の処理、リスクの軽減を実現するため、ビジネスをスムーズに運営することができます。

ペイパルでの安全な支払いの受け取りに関する詳細については、弊社の担当者(03-6739-7135)にお問い合わせください。

^* 適用対象のご購入に限ります。限度額が適用されます。