カード情報非保持化対応のお願い

近年、セキュリティ対策が不十分なクレジットカード加盟店を狙った不正アクセスによるカード情報漏えい事故が増大しております。

こうした背景をふまえ、2018年6月頃に施行予定の改正割賦販売法 *1 によりクレジットカード番号の適切な管理と不正利用の防止が加盟店さまに義務付けられます。

これに伴い、一般社団法人日本クレジット協会および経済産業省により「クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画」*2 (以下「実行計画」)が策定され、 2018年3月末 までに後述するクレジットカード番号の非保持化対応が加盟店さま側で求められております。非保持化対応がされていない場合、加盟店さま側で別途「PCI DSS」*3 の準拠が必要となります。

PAY.JPの加盟店さまにおかれましては、安全な決済環境をご利用いただくよう、以下の内容についてご確認とご対応をお願いいたします。

クレジットカード番号の非保持化について

先述の「実行計画」において、カード情報の「非保持化」とは、「加盟店様で保有する機器・ネットワークにおいてカード情報を『保存』『処理』『通過』しないこと」と定義されています。

内容 必要な対応 PAY.JP 実装
通過型 カード番号が加盟店のサーバーを通過 2018年3月末までに、非通過型決済への移行もしくはPCI DSSへの準拠 サーバーサイドから直接カード番号を指定して PAY.JP API へリクエスト
非通過型 カード番号が加盟店のサーバーを通過しない 対応不要 payjp.js, Checkout モジュールなどでクライアントサイドから PAY.JP API へリクエスト

加盟店さまにおかれましては、下記にあげる方法で、非保持化についてご対応くださいますようお願いいたします。

PAY.JP で非保持化に対応する

PAY.JP ではJSモジュールの payjp.js または Checkout を使ったトークン決済で、非保持化にかんたんに対応することができます。下記のとおり、購入者のブラウザから直接PAY.JPへカード情報を送信するため、加盟店さまのサーバーに触れることなく安全に処理が可能です。

f:id:payjp:20171110172959p:plain
非保持化対応がされたフロー

組込方法は下記チュートリアルやブログ記事にございますので参考にしてください。

通過型の処理について

一方で、PAY.JP APIに対して、サーバーサイドから直接カード番号を指定して処理を実施する方法がございます。

こちらは通過型となりますので、この方法で処理を実施している加盟店さまは、非保持化の対応が必要 となります。

f:id:payjp:20171110152459p:plain
非保持化対応がされていないフロー

下記のようなリクエストを実施されている加盟店さまは先述の payjp.js, Checkout などを使った非保持化への対応をお願いいたします。

リクエスト例(トークン作成):

curl https://api.pay.jp/v1/tokens -u KEY: \
-d card[number]=4242424242424242 \ 
-d card[exp_year]=2020 \
-d card[exp_month]=12 \
-d card[cvc]=123 \

リクエスト例(支払い作成):

curl https://api.pay.jp/v1/charges -u KEY: \
-d card[number]=4242424242424242 \ 
-d card[exp_year]=2020 \
-d card[exp_month]=12 \
-d card[cvc]=123 \
-d amount=500 \
-d currency=jpy

リクエスト(顧客作成):

curl https://api.pay.jp/v1/customers -u KEY: \
-d card[number]=4242424242424242 \ 
-d card[exp_year]=2020 \
-d card[exp_month]=12 \
-d card[cvc]=123 \
-d email=example@pay.jp

通過型処理の今後のサポートについて

PAY.JP では加盟店・購入者の皆さまに安全な決済環境を提供するため、PAY.JP APIにおける下記にあげる通過型の処理を 非推奨 とし、 一部APIのPOSTリクエストにおいて、 来年度中を目処に通過型のパラメーターはサーバー側から送信できない仕様に変更する予定 です。

エンドポイント パラメーター 直近のサポート
/tokens
/charges
/customers
card[number]
card[exp_month]
card[exp_year]
card[cvc]
card[address_state]
card[address_city]
card[address_line1]
card[address_line2]
card[address_zip]
card[country]
card[name]
非推奨
/customers/:id/crads number
exp_month
exp_year
cvc
address_state
address_city
address_line1
address_line2
address_zip
country
name
非推奨

クレジットカード番号の非保持化対応についてご不明点などございましたら、 PAY.JP お問い合わせフォーム よりご連絡をお願いいたします。