「実行計画2018」改訂のポイント | PCI DSS Ready Cloud

「実行計画2018」改訂のポイント

  • このエントリーをはてなブックマークに追加
最新版の「実行計画2018」(2018年3月1日発行)は、実行計画2017が求めた対策の2018年3月という完了期限、および2018年6月の改正割賦販売法の施行を見据えた改訂が行われた。カード情報の保護に関わる事項を中心に、改訂のポイントをまとめた。

「非保持」の明確化と再整理

実行計画2018では、カード情報を含む画像データ(PDFなど)や通話録音データを保存していても紙媒体同様にカード情報の非保持に相当する旨を明記した。同様に、対面取引において購入金額の訂正や取り消しなどの照会のために顧客やカード会社からカード番号を一時的に入手・利用することについても、一定の方法で行えば非保持化を求めないとしている。

クレジットカード番号と見なさない処理

実行計画2017では、カード情報を無価値化する処理(トークナイゼーションまたはトランケーション)を自社のシステムの外で施した場合は、カード番号と見なさないとしていた。実行計画2018では、「無効処理されたカード番号」もカード番号と見なさないと明記された。

紛失や盗難によって無効となったカード会員のカード番号は原則、再度利用されることはない。無効処理されたカード番号のリスト(「ネガデータ」と呼ばれる)は、不正使用の防止を目的として、カード発行会社から加盟店に送付されることがある。「無効処理されたカード番号」はカード番号と見なさないと明記されたことにより、非保持化を実施した加盟店でもネガデータを保存・利用できる。

電子帳簿保存法に基づいて保存した過去のカード情報の取り扱い

加盟店が電子帳簿保存法に基づいて税務関係帳簿を電磁的記録で保存している場合は、非保持化への対応が完了する以前の電子帳票にテキストデータとしてカード情報が含まれている可能性がある。実行計画2018では、クレジット取引セキュリティ対策協議会が定めた「非保持化実現加盟店における過去のカード情報保護対策」を講じることを前提に、これらの情報を保存していても非保持と見なすとした。

2018年3月の対応期限が到来した非対面加盟店、カード会社、PSPへの要請

非対面加盟店のカード情報非保持化またはPCI  DSS準拠の対応期限が2018年3月に到来したことを受けた記述が追加された。対応が完了した非対面加盟店に対しては、カード情報の漏えい防止のためのセキュリティ対策(従業員教育やウイルス対策、デバイス管理など)を求めている。対応が未了の場合は、改正割賦販売法(2018年6月1日施行)に基づいて加盟店契約会社による調査が行われるため、早急に必要かつ適切な措置をとる必要がある。

一方、加盟店契約会社、カード発行会社、PSPに対しては、PCI  DSS準拠が完了していることを前提として、その維持運用を求めている。また、関係法令・ガイドラインなどを参照し、リスクに応じたセキュリティ対策を講じるとともに、適切な管理・運用を行うことも求めている。

通販加盟店における非保持もしくは同等/相当と認めるセキュリティ措置

メールオーダー・テレフォンオーダーの非対面加盟店(通販加盟店)に対して、非保持もしくは同等/相当と認める措置として「外回り方式」と「内回り方式」を新たに記載した。

POS加盟店における非保持もしくは同等/相当と認めるセキュリティ措置

実行計画2017では、POS加盟店の「内回り方式」としてPCI  P2PE認定ソリューションの導入により、非保持もしくは同等/相当と認める措置が達成できるとしていた。実行計画2018では、これに加えて協議会が定めた「対面加盟店における非保持と同等/相当のセキュリティ確保を可能とする措置に関する具体的な技術要件について」の11項目のセキュリティ要件(一般向けには非公開)を満たすことにより非保持と同等/相当と見なされるとした。

カード会社、PSP以外のサービスプロバイダーにおけるカード情報保護の対策

EC加盟店からカード情報が流出する事件が多発していることを踏まえ、実行計画2018では重点課題としてEC加盟店の委託先事業者についてPCI  DSS準拠などの対策を求めると明記した。ここでの委託先にはPSPだけでなく、ショッピング・カート・サービスなどの事業者も含まれる。

複数の委託者からカード情報を取り扱う業務を受託する、あるいはシステムを提供する事業者に対しては、自社システムにおけるカード情報の保持状況を確認した上で、PCI  DSS準拠などの対策を行うことを求めている。

(共著:fjコンサルティング代表取締役CEO 瀬田陽介
PCI Security Standard Council アソシエイト・ダイレクター 日本 井原亮二)



※出所:書籍『改正割賦販売法でカード決済はこう変わる』(日経BP社、2018年4月発行)から著者および出版社の許諾を得て転載

    ■書籍の詳細はこちら(日経BP社):改正割賦販売法でカード決済はこう変わる

PCI DSS Ready Cloudでは、PCI DSS v4.0への効率的な移行支援及び準拠を促進するクラウドサービスを提供しています。
是非一度、ご相談ください。
PCI DSS準拠を促進するクラウドサービスならPCI DSS Ready Cloud

■ PCI DSS の構築、維持・運用にかかるコストと工数を削減する
PCI DSS Ready Cloud マネージドモデルはこちら
 
■ AWSでの開発事業者や外部ベンダー/事業者との専用線接続がない場合に最適
PCI DSS Ready Cloud AWSモデルはこちら
 
■ 国内トップクラスのPCI DSS専門のコンサルタント集団によるPCI DSS準拠支援サービス
PCI DSS準拠支援コンサルティングはこちら
 
【関連記事】
PCI DSSとは?準拠が必要な企業とセキュリティ対策をガイダンス
【動画付き】PCI DSS バージョン4.0の特徴や変更点を解説
■ 関連サービス
電話/はがき/FAXオーダーの加盟店向けカード情報非保持化サービス「Pay TG」

この記事が気に入ったら
いいね!しよう

PCI DSS 関連の最新記事をお届けします

  • このエントリーをはてなブックマークに追加