コロナ禍による非接触の流れは、多くの業態において、実店舗販売からオンライン販売へと売上がスライドしています。これは言うまでも無く、様々なメディアで取り上げられていますし、各社決算を見れば一目瞭然、そもそも、自分の生活スタイルを思い起こすだけでも納得するところでしょう。
一部、資本力と知名度がある小売企業に関しては、オムニチャネル戦略を成功させて実店舗の売り上げを好調に推移している例はありますが、まぁ、多くの企業はそうではありません。
そして、次に小売業の皆さんは、ECサイトを立ち上げようと思われる(思われた)でしょうが、すでにECサイトに部署を変性するなどして算入している企業や、法務部がしっかりと存在するような企業でない限りは、『必要な機能やデザインが利用者が使いやすく、必要な機能が安く、早く立ち上げられるECサイトを!』という感覚だけで構築しようとするケースが多いです。
これは、当社だけではなく、他の制作会社でも良く聞く話です。
発注者が気づかないと大けがする、安物買いの銭失いになる落とし穴がここには色々あります。
制作会社は、あくまでもWebサイトを作るのに長けているだけで、クライアントの業界の法律に詳しいとは必ずしも言えるわけではありません。
今回取り上げる落とし穴の一つは、クレジットカード決済を伴うフォームの作り方です。
皆さん突然ですが、「割賦販売法」はご存じでしょうか?
ローン、クレジットを常に扱っている企業ですと知らない方はいませんが、小売店となると知らなくても無理はありません。
この「割賦販売法」ですが、2020年3月3日に、「割賦販売法の一部を改正する法律案」が閣議決定されています。閣議決定と言うことは、その後いずれかのタイミングで必ず法律家されるというステータスです。内容に関してざっくりいうと、決済サービスにおける不正行為の防止、個人情報の保護を目的としています。
この中に「ある一定以上のセキュリティを要さないサーバで、クレジットカード情報を扱わないよう勧告する」と言った様な表現があります。
基本的に、インターネット上を流れる情報は横から盗み見ることができます。
そして、保存されたデータも何かの機会に漏洩してしまうことがあります。
たまに、誰もが知る大手企業が個人情報を漏洩したというニュースを目にしますよね。
クレジットカード情報は、盗まれると少なくとも限度額の範囲内で第三者に使われてしまうリスクが発生しますし、その人が何を買ったか、家族構成や年収といったデータも漏洩する可能性まであります。それだけ重要な個人情報なわけです。これを厳重に保護しなさい。ということは当然でしょう。
で、これが何に影響するのかというと
『フォームにクレジットカード情報を入力⇒内容確認ページで入力した情報を表示』
これ自体が基本的にアウトになります。当然、毎月定額の契約なので、クレジットカード情報をデータベースに保存するなんてもってのほかになります。これをやっていいのは、「PCI DSS」という基準に合格(審査機関があります)したサーバだけであり、そうでない普通のレンタルサーバや自作サーバなどでは絶対にやってはいけないということです。(先ほどの閣議決定された法律が立法され、施行されれば違法になります。)
「PCI DSS」に準拠していないサーバにおいて、クレジットカード情報が流通してはいけないので、フォームから送信するということは完全にアウト。「PCI DSS」に合格したサーバをレンタルすると、現時点では月額十数万円以上という相場観になります。
安くECサイトを構築しようという安易な考えは、その後の行政罰を招くことになります。
ただし、「PCI DSS」に準拠しなくても、ECサイトを構築する方法はあります。
それは、クレジットカード入力画面から後ろの全てを決済サービス会社が用意している画面上で行ってもらう(リンク方式)か、あなたが保有するサーバ上をクレジットカード情報が流通しない決済手段である、トークン決済という方式を組み込むことです。
トークン決済方式であれば、フォームから入力されたクレジットカード情報は、送信されるとクレジットカード決済会社が保有するサーバに送られ、あなたのサーバにはその結果として決済を進行するための符号(トークン)だけが返ってきます。つまり、あなたのサーバ上では、このトークンだけが流れることになり、クレジットカード情報自体は一切流れず、かつ、問題なく決済が行える方式になります。
何も考えず、単にWordpressで必要なプラグインをチョイスして組み合わせて終わり!なんて考えていると、このリスクを抱えてしまうことになりますので、しっかりと考えてECサイトを構築するようにしましょう。次回もこのテーマを取り上げたいと思います。