ECサイトはクレジットカード情報を持っているのか？決済代行会社とカード情報非保持化の仕組み

カード情報非保持化とは

• カード情報非保持化とは、EC事業者側でクレジットカード情報を処理・保存・通過させない考え方
• 多くのECでは、決済代行会社を利用してカード情報を安全に扱う
• ECサイト側が管理するのは、カード番号そのものではなく、決済IDや顧客カードIDなどの識別情報であることが多い
• 「このカードを保存する」と表示されても、EC事業者がカード番号を直接保存しているとは限らない

ECサイトでクレジットカード番号を入力すると、そのEC事業者がカード情報を保存しているように見えるかもしれません。しかし、現在の多くのECでは、カード情報を自社で保持せず、決済代行会社やカード会社側の仕組みを利用して決済しています。

クレジットカード情報はECサイトが持っているのか

ECサイトで商品を購入する際、クレジットカード番号を入力する場面があります。そのため、利用者から見ると「このECサイトがカード番号を保存しているのではないか」と感じることがあります。

しかし、現在の多くのECサイトでは、クレジットカード情報を自社で保持しない仕組みが使われています。

特に、決済代行会社を利用している一般的な自社ECでは、カード番号そのものをEC事業者のサーバーに保存しない設計が基本です。ECサイト側が持つのは、注文情報や決済結果、決済を識別するためのIDなどであり、カード番号そのものではないケースが多くなっています。

もちろん、すべてのサービスを一律に断定することはできません。大規模なECモールやプラットフォームでは、自社またはグループ内に決済基盤を持っている場合もあり、カード情報の管理主体はサービス構成によって異なります。

ただし、中小規模の自社ECや一般的なECサイトでは、決済代行会社を利用し、カード情報を自社で持たない形が広く採用されています。

カード情報非保持化とは何か

カード情報非保持化とは、EC事業者側でクレジットカード情報を処理・保存・通過させない考え方です。分かりやすく言えば、次のような状態です。

• カード番号を自社で保存しない。
• カード番号を自社システムで処理しない。
• カード番号を自社サーバーに通さない。

ここで重要なのは、「保存しない」だけではないという点です。

カード情報が一時的にでもEC事業者のサーバーを通過する場合、管理すべきリスクが大きくなります。そのため、現在の決済では、カード情報をEC事業者側に通さず、決済代行会社側で安全に扱う仕組みが使われます。

利用者から見ると、ECサイト内でカード番号を入力しているように見える場合でも、実際にはカード情報が決済代行会社側に送られ、EC事業者側にはカード番号そのものが残らない構成になっていることがあります。

カード情報はどこで管理されているのか

では、ECサイトがカード情報を持っていない場合、その情報はどこで扱われているのでしょうか。多くの場合、カード情報は決済代行会社やカード会社側の仕組みで処理されます。

決済代行会社とは、EC事業者とカード会社の間に入り、クレジットカード決済やコンビニ決済、銀行決済などをまとめて扱う会社です。EC事業者は、決済代行会社の仕組みを利用することで、自社でカード情報を直接管理せずに決済を行うことができます。

例えば、ECサイト側では「注文番号」「決済ID」「顧客ID」「顧客カードID」のような情報を管理し、実際のカード番号は決済代行会社側で安全に扱う形です。つまり、EC事業者が管理しているのは、カード番号そのものではなく、決済や顧客を識別するための情報であることが多いのです。

なぜEC事業者はカード情報を持たないのか

EC事業者がカード情報を持たない理由は明確です。カード情報を持つことは、事業者にとって大きなリスクになるからです。

万が一、カード情報が漏えいした場合、利用者への被害だけでなく、事業者側にも大きな責任が生じます。また、カード情報を安全に管理するには、高度なセキュリティ対策や運用体制が必要になります。

そのため、多くのEC事業者にとって、カード情報を自社で持つことは現実的ではありません。

決済代行会社を利用し、カード情報を自社で保持しない設計にすることで、利用者にとっても、EC事業者にとっても安全性を高めることができます。

トークン決済という仕組み

カード情報をECサイト側で持たない仕組みのひとつに、トークン決済があります。トークン決済とは、購入者が入力したカード情報を、そのままECサイト側で扱うのではなく、別の文字列に置き換えて決済する仕組みです。この別の文字列を「トークン」と呼びます。

購入者がカード番号を入力すると、その情報は決済代行会社側でトークン化されます。ECサイト側には、カード番号そのものではなく、トークンが送られます。ECサイトは、そのトークンを使って決済処理を行います。

これにより、ECサイト側でカード番号を保存したり、直接扱ったりせずにクレジットカード決済を行うことができます。利用者から見ると通常のカード決済と大きな違いはありませんが、裏側ではカード情報を安全に扱うための仕組みが動いています。

「このカードを保存する」と表示される場合

ECサイトでクレジットカード決済を行う際に、「このカードを保存する」「次回以降このカードを使う」といった表示を見ることがあります。この表示を見ると、EC事業者がカード番号を保存しているように感じるかもしれません。

しかし、多くの場合、EC事業者がカード番号そのものを保存しているわけではありません。決済代行会社側に保存されたカード情報を、次回以降も利用できるようにするための識別情報をECサイト側で管理している形です。

例えば、ECサイト側には「この会員は、決済代行会社側に登録されたカード情報を利用できる」という情報だけが残ります。実際のカード番号は、決済代行会社側で管理されます。

そのため、「カードを保存する」という表示は、必ずしも「EC事業者がカード番号を直接保存する」という意味ではありません。

利用者向けの表示としては分かりやすい言葉ですが、裏側の仕組みとしては、カード番号そのものではなく、カード情報を呼び出すための識別情報を利用しているケースが多いのです。

楽天などの大規模サービスはどう考えるべきか

楽天などの大規模プラットフォームについては、一般的な自社ECとは分けて考える必要があります。大規模なサービスでは、ECモール、決済サービス、カード会社、会員ID基盤などをグループ内に持っている場合があります。そのため、外部から見て「どこがカード情報を保持しているのか」を単純に判断することはできません。

一般的な自社ECでは、外部の決済代行会社を利用してカード情報を非保持化するケースが多い一方、大規模プラットフォームでは、グループ内の決済基盤や独自の管理体制が使われている可能性があります。

重要なのは、利用者がカード番号を入力している画面だけを見て、「そのEC会社がカード情報を持っている」と判断しないことです。サービスの構成によって、カード情報の管理主体は異なります。

利用者が確認しておきたいこと

利用者としては、カード情報がどこに保存されているのかを細かく把握することは難しいかもしれません。ただし、安心して決済するために確認できるポイントはあります。

まず、正規のECサイトから購入手続きを進めているかを確認することです。メールや広告から直接アクセスした場合は、URLが正しいか、不審なサイトではないかを確認することが大切です。

次に、決済画面で表示される案内を確認します。決済代行会社名が表示される場合や、カード情報の取り扱いについて説明がある場合は、その内容を確認すると安心です。

また、3Dセキュアなどの本人認証が行われる場合は、カード会社側の認証画面に移動することがあります。見慣れない画面が表示された場合でも、正規の購入手続きの流れで表示されているかを確認することが重要です。

利用規約やプライバシーポリシーに、クレジットカード情報の取り扱いについて記載されている場合もあります。不安がある場合は、ECサイトの運営会社に問い合わせることも有効です。

EC運営者が意識すべきこと

EC運営者にとって重要なのは、カード情報を持たない設計を正しく理解し、利用者に分かりやすく伝えることです。

実際にはカード情報を保持していないにもかかわらず、購入画面やヘルプページの説明が不十分だと、利用者は不安を感じます。

• 「カード情報は当社で保持していません」
• 「決済代行会社の仕組みを利用しています」
• 「次回利用のために保存されるのは、カード番号そのものではなく識別情報です」

こうした説明があるだけでも、利用者の安心感は変わります。

特に、会員向けにカード情報を保存できるECサイトでは、カード番号そのものを保存しているのか、決済代行会社側で管理しているのかを分かりやすく説明することが大切です。決済まわりの安心感は、購入率にも影響します。

利用者が「このサイトでカードを使って大丈夫だろうか」と不安を感じれば、最後の決済画面で離脱してしまう可能性があります。セキュリティ対策を行うだけでなく、それを分かりやすく伝えることも、EC運営では重要です。

カード情報を持たないことは、安全なEC運営の基本

ECサイトでクレジットカード番号を入力していても、そのEC事業者がカード情報を保存しているとは限りません。現在の多くのECでは、決済代行会社の仕組みを利用し、カード情報を自社で保持しない形で決済を行っています。

カード情報非保持化は、EC事業者にとってリスクを減らすだけでなく、利用者にとっても安全性を高める仕組みです。重要なのは、カード情報をどこで扱い、ECサイト側には何が残るのかを正しく理解することです。

「カードを保存する」と表示される場合でも、EC事業者がカード番号そのものを保存しているとは限りません。多くの場合、決済代行会社側に保存されたカード情報を利用するための識別情報が使われています。

カード情報を持たないことは、EC運営における安全設計の基本です。そして、その仕組みを利用者に分かりやすく伝えることも、これからのECサイトに求められる重要な要素です。