ECマルチ決済サービス「りそなPayResort＋（りそなペイリゾートプラス）」

「トークン決済」とは、購入者さまがパソコン上に入力したカード情報を直接「りそなPayResort＋」に送信することで、カード情報を暗号化された別の文字列（トークン）に置き換えて返却し、返却されたトークンを用いてお支払を完了させる決済方法です。カード情報が加盟店さまのサーバを通過しないため、情報漏洩のリスクを軽減することが可能です。

◆トークン決済の流れ

• ※トークンは一度しか利用できません（ワンタイムトークン）ので、第三者が盗取しても利用できません。

デザイン性とセキュリティを兼ね備えた決済手段です。

• ①サイト画面デザインに一貫性を持たせることが可能です！
  カード情報入力画面が「りそなPayResort＋」サイトに遷移することがなく、加盟店さまのサイトで取引が完結します。途中離脱率の軽減に繋がります。
• ②クレジットカード情報の非保持化が可能です！
  「JavaScript」を利用してカード情報をりそなPayResort＋へ直接送信しますので、加盟店さまのサーバ上で「保存」「処理」「通過」しません。

• インターネット取引に代表されるクレジットカード決済の拡大に伴い、クレジット取引の不正使用被害が増加傾向にあることをうけ、「割賦販売法の一部を改正する法律」が2018年6月1日に施行され、この法律により、クレジットカードを取り扱う加盟店は、クレジットカード番号等の情報漏洩を 防止するための対策や不正利用による被害を防止するための対策が義務付けられております。
• 具体的には「クレジット取引セキュリティ対策協議会」のクレジットカード・セキュリティガイドライン※1（「以下ガイドライン」）にその対策がまとめられており、このガイドラインは割賦販売法上の義務履行にかかる実務上の指針となっております。本ガイドラインの措置、またはそれと同等以上の措置を講じることで、セキュリティ対策に係る法令上の基準を満たしていると認められ、EC加盟店様においては具体的に以下の3点の対策が求められております。

1. ①クレジットカード情報保護対策（全加盟店共通）
   • カード情報を盗ませないために、加盟店におけるカード情報の「非保持化」をする。
   • カード情報の非保持化ができない場合には、セキュリティに関する国際規格であるPCIDSS※2に準拠する。

   （カード情報の非保持化とは、自社で保有する端末、機器、ネットワークにおいて、カード情報を保存、処理、通過しないことを言います）

   • →加盟店さまご自身で「PCI DSS」に準拠するとなると、審査や導入コスト等がかかり、負担が大きくなります。
     クレジットカード情報の非保持化に対応している「りそなPayResort＋」をご利用いただくことで、コストと業務負担を軽減することが可能です。
     なお「りそなPayResort＋」はPCI DSSに準拠しており、 入力されたクレジットカード情報はセキュリティ基準に準拠した環境にて保管されます。
2. ②クレジットカードの偽造防止による不正利用対策（対面加盟店のみ）
   • 偽造カードを使わせないために、加盟店にＩＣ対応の決済端末を導入する。
3. ③本人なりすましにおけるクレジットカードの不正利用対策（非対面加盟店のみ）
   • インターネット等による通信販売で、本人なりすましによる不正利用をさせないために、オンラインオーソリの他、リスクに応じて本人認証（EMV3Dセキュア）やカード券面のセキュリティコードの認証等を多面的・重層的に導入する。
   • →「りそなPayResort＋」ではEMV3Dセキュアの導入が必須となります。

• ※1クレジットカード・セキュリティガイドライン（参照：日本クレジット協会）
  https://www.j-credit.or.jp/security/document/index.html
• ※2「Payment Card Industry Data Security Standard」の略で、加盟店さまやサービスプロバイダにおいて、クレジットカード会員データを安全に取り扱う事を目的として策定された、クレジットカード業界のセキュリティ基準のことを指します。