PCI P2PE(内回り)クレジットカード情報非保持化ソリューション 導入事例

株式会社テレビショッピング研究所 様

PCI P2PE(内回り)ソリューションの導入により、システム・業務フローを大きく変更することなくコールセンターでのカード情報非保持化に対応することができた。

au損害保険株式会社

株式会社テレビショッピング研究所
情報システム管理室 守田 努 様(写真右)
情報システム管理室 春日 博 様(写真左)
テレマーケティング事業部 山口 智子 様

1998年よりテレビ放送を行っているテレビショッピング番組「ダイレクトテレショップ」。

お客様からの購入を受け付けるコールセンターでの電話受注の際に、電話・FAX・はがき受注(メールオーダー・テレフォンオーダー)の加盟店向け「PCI P2PE(内回り)クレジットカード情報非保持化ソリューション」をご利用いただいています。

ベリトランスでは、実行計画で定められているメールオーダー・テレフォンオーダー加盟店が非保持化を達成するための4つの方式に対応したサービスを全て提供可能ですが、その中でPCI P2PE(内回り)クレジットカード情報非保持化ソリューションを選んでいただいた理由や、導入後のご利用状況についてお話をお伺いしました。

■ ご利用サービス
  • PCI P2PE(内回り)クレジットカード情報非保持化ソリューション
※PCI P2PE認定事業者のルミーズとベリトランスが連携し、提供しています。

PCI P2PE(内回り)ソリューション最大の決め手は「現行のシステム・業務フローを大きく変更する必要がない」こと

テレビショッピング研究所様の事業内容を教えてください。

山口様:通信販売事業と法人向けの卸売り事業を行っています。通信販売事業ではテレビCM、ECサイト、カタログを通じて健康食品・日用品・家電・理美容商品を販売しています。

最近では、焦げ付きにくく、耐久性に優れたフライパンシリーズの「フレーバーストーン」が人気です。世界累計販売数が1,000万枚を突破しており、たくさんの方に愛用いただいています。

どのチャネルでPCI P2PE(内回り)ソリューションをご利用いただいているのでしょうか。

PCI P2PE(内回り)ソリューション専用の
テンキーパッド端末

山口様:テレビ通販における電話受注の際にコールセンターにて利用しています。

電話受注での決済手段はクレジットカード決済と代引きをご用意しています。電話注文は24時間いつでも受け付けています。日によって差はあるものの、テレビショッピング番組が流れる本数が多い日には1日で約1万件電話注文を受け付けます。そのうちPCI P2PE(内回り)ソリューションを利用してのクレジットカード決済は1日で1,500件ほどになります。

コールセンターでは最大で同時に150人のオペレーターが電話での受注対応を行いますが、全てのお客様がクレジットカード決済を選択されるわけではないので、PCI P2PE(内回り)ソリューション専用のテンキーパッドは予備を含めて70台ほど導入しています。

PCI P2PE(内回り)ソリューションの導入の経緯を教えていただけますか。

守田様:2018年6月の改正割賦販売法の施行に伴い、当社のように電話・FAX・はがきで受注を行う加盟店は2018年3月末までに「カード取引におけるセキュリティ対策の強化に向けた実行計画」で求められるセキュリティ対策に対応する必要がありました。

実行計画では加盟店にクレジットカード情報の非保持化に対応するか、PCIDSSに準拠するかどちらかを選択するよう求めており、当社もこのどちらを選択するかの検討から始めることになりました。
PCIDSS準拠はコスト的に現実的ではないと分かり、非保持化対応を行っていく方針に決定しました。

メールオーダー・テレフォンオーダー加盟店が非保持化を達成できる方法は大きく3種類あります。

一つ目は、自動音声応答サービスを利用し、加盟店内の機器やネットワークでクレジットカード情報を保存・処理・通過させない方式。
二つ目は、加盟店の業務用PCや基幹システムと連動しない専用端末にカード情報を入力する外回り方式。
三つ目はカード情報が加盟店の環境を通過するものの、PCI P2PE認定ソリューションを導入することで、カード情報と認識されない形に暗号化して処理、通過させる内回り方式です。

非保持化が達成できる方法をベリトランスに提案していただいたところ、メールオーダー・テレフォンオーダー加盟店向けの非保持化ソリューションとして、IVR決済ソリューションと、外回り方式である、タブレット端末、PayTG端末、さらに内回り方式のPCI P2PE(内回り)ソリューションの4種をご紹介いただきました。

その中でもPCI P2PE(内回り)ソリューションを選んだ理由は大きく3つ挙げられます。

一つ目は、オペレーターがクレジットカード情報をお伺いする運用フローに大きな変更を加えなくても良かったことです。

実行計画ではメールオーダー・テレフォンオーダー加盟店において、オペレーターが業務用PCにクレジットカード情報を入力することはクレジットカード情報の保持に当たりますが、PCI P2PE認定を受けたテンキーパッドを用いれば、クレジットカード情報を入力した時点でテンキーパッド内部で暗号化され、セキュアに伝送できるため、非保持化と同等/相当のセキュリティ措置と定義されており、暗号化されたお客様のクレジットカード情報を自社ネットワークで取り扱う事が可能になると紹介いただきました。

当社のテレビ通販のお客様層は年配の方が多いため、クレジットカード情報の非保持化に対応しつつ、これまでどおり電話でお客様から直接カード情報をお伺いし、オペレーターが決済処理をするという運用を続けることでお客様の離脱も防げるだろうと考えました。
また、コールセンターでの運用変更を最小限に抑えることで、オペレーターにとっても新しいソリューションに対応するためのトレーニングの負荷がかからず、戸惑いが少ないのではないかと思いました。

二つ目は、既存のシステムフローを大きく変更することなく、当社の基幹システムと注文番号と金額情報の連携ができることです。システムフローの変更を少なくすることで、システムの改修ポイントを少なくし、改修コストを抑えることができました。

三つ目は、タブレットやCCT端末といった外回り方式と比べ1台あたりの端末の月額費用を抑えられることです。
当社は抱えているオペレーターの数が多く、導入する端末の台数も多くなります。長い目で見たときにその他のソリューションと比べて端末にかかる費用を抑えられると試算しました。

以上の3つのポイントを評価し、PCI P2PE(内回り)ソリューションを導入することにしました。

PCI P2PE(内回り)ソリューション導入によるカード情報入力画面変更イメージ

カード番号エラーの際、後処理にかかる工数を削減できた

導入期間や開発についてはいかがでしたでしょうか。

春日様:導入は予定通りに進みました。基幹システムとPCI P2PE(内回り)ソリューションの接続に関する開発についてはソリューション提供元のルミーズに質問を行っていましたが、ルミーズの技術サポートの方に親身に対応していただけたので助かりました。

コールセンターでの運用フローはどのように変わりましたか。

春日様:PCI P2PE(内回り)ソリューション導入前は各オペレーターがお客様からお伺いしたクレジットカード情報と注文情報を1日2回まとめてCSV化し、当社の基幹システムに取り込んだ後、基幹システムからAPI連携しているベリトランスの決済サービスへ決済情報を連携していました。

そのため、お客様から聞き取ったクレジットカード情報が間違っている、有効期限が切れているなどでクレジットカードが使えないことが判明するのはベリトランスの決済サービスへ決済情報を連携し、決済結果の通知が来たタイミングでした。

クレジットカード番号が間違っているお客様には当社からお電話をかけ、改めてクレジットカード番号をお伺いする必要があります。お客様から正しいクレジットカード情報をお伺いできるまでは商品手配や発送をストップしていますので、その分お客様をお待たせしてしまっていました。

PCI P2PE(内回り)ソリューションはオペレーターが聞き取ったクレジットカード情報を専用のテンキーパッドに打ち込んだ時点で暗号化、カード番号をトークンに置き換える処理を経て、ベリトランスサーバーにてオーソリ処理をする運用に変わりました。

クレジットカード番号が間違っている場合、チェックデジット機能により、テンキーパッドの液晶画面に瞬時にエラーが表示されるので、その場でお客様にクレジットカード番号を聞き直すことができるようになりました。

PCI P2PE(内回り)ソリューションでのデータ連携フロー

お客様にも「情報管理がしっかりしている」と運用変更にご理解いただけています

PCI P2PE(内回り)ソリューション導入にあたっての懸念点はありましたか。

山口様:PCI P2PE(内回り)ソリューションではテンキーパッドを使ってクレジットカード情報を入力しますが、クレジットカード番号を入力した時点で、カード番号の一部がテンキーパッドの液晶画面上ではアスタリスクでマスキングされるため、導入前と違いクレジットカード番号の復唱ができなくなります。

また、従来のPCのテンキーでの入力とPCI P2PE(内回り)ソリューション専用のテンキーパッド端末では、打ち込みの感覚が異なるため、オペレーターが慣れるまで時間がかかるだろうと想定していました。

そのため、より慎重にお客様からクレジットカード番号をお伺いする必要があると考え、お客様との通話の冒頭で「個人情報の観点から手元で暗号化を致しますので4桁ずつクレジットカード番号をお伺いしております。」とお伝えし、ゆっくり4桁ずつお伺いする運用に変更しました。

PCI P2PE(内回り)ソリューション導入前は16桁のカード番号を一気に早口でおっしゃるお客様もいらっしゃいましたので、お客様にこの運用が受け入れられるか心配していましたが、実際はほとんどのお客様に「個人情報をしっかり取り扱っているのだ」とご理解いただけているようで、現在まで大きなトラブルは起きていません。

「夢のある生活提案」を実現するため、常に新しい挑戦を行っていきたい

最後に、貴社の今後の展開についてお教えいただけますか。

山口様:私たちが放送しているテレビショッピング番組「ダイレクトテレショップ」は1998年の放送開始以来、「夢のある生活提案」を実現するため、お客様に便利でワクワクするような商品をお届けしています。

今後も魅力的な商品とサービスを提供することで、お客様と末永くお付き合いできるよう、常に新しい挑戦を行っていきたいと考えています。

当社のECサイト「ダイレクトショップ Webサイト」にもベリトランスのクレジットカード決済ソリューションを導入していますが、後払いなど当社の事業に親和性の高い決済手段があれば追加で導入を検討したいと考えていますので、引き続き、決済に関する情報提供をいただければと思います。

PCI P2PE(内回り)ソリューションとは?

ルミーズ社提供のPCI P2PE認定を受けたテンキーパッドを業務PCにUSB接続し、クレジットカード情報を入力する方式。

テンキーパッド内にて暗号化されたクレジットカード情報がアプリケーション、伝送経路上で一切復号化されることなく、ルミーズの決済センターまで伝送されます。加盟店の業務用PC、既存システム、ネットワークインフラを通じて伝送されるため、新たなインフラを導入する必要なく、かつ、業務フローの大幅な変更なく導入いただけるソリューションです。

サンプルソースを含むSDK(ソフトウェア開発キット)は、ルミーズ社から無償提供されますので、開発は無償で、かつ、とても簡単に行えます。

さらに、ベリトランスの決済ソリューション「VeriTrans4G トークン決済」を既に導入している加盟店では、トークン決済のインターフェースをそのまま利用できますので、システム改修がほとんど発生せずに導入が可能です。

株式会社テレビショッピング研究所様 会社概要

所在地 〒144-0051
東京都大田区西蒲田7-25-7
代表 代表取締役社長 高橋 正樹
事業内容 通信販売事業、卸売業

※掲載内容は、本事例の掲載日時点の情報です。
※記載されている会社名、製品名は、各社の登録商標または商標です。

2019年10月10日掲載