カード情報非保持化 電話、ハガキオーダー加盟店の現状 | PCI DSS Ready Cloud

2017.06.29

カード情報非保持化 電話、ハガキオーダー加盟店の現状

  • このエントリーをはてなブックマークに追加
「クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画2017年版」(以下「実行計画2017」)では、前年版の実行計画において扱いが曖昧だった電話、ハガキでカード決済処理を受けつけるMail-Order/Telephone-Order(以下、MOTO)加盟店の取扱いが明確化された。「実行計画2017」の発行後、多くのMOTO加盟店がこの非保持化対応に試行錯誤している状況である。
関連サービス:カード情報非保持化サービス Pay TG
関連サービス:BIZTELコールセンターPCI DSS

 

一般的な通販事業者のカード決済処理

実行計画2017では、カード加盟店における非保持化の条件として、「カード情報を保存する場合、 紙の伝票のみで処理し、自社で保有する機器において「カード情報」を『保存』、『処理』、『通過』しないこと」を求めている。

一般的にテレフォンオーダーでクレジットカードによる決済を行う場合、以下の手順で行われる。

1)顧客は電話でコールセンターのオペレーターにカード番号と有効期限を伝える
2)それらの情報をオペレーターが自社のパソコンで決済代行事業者(PSP)の提供する決済処理画面に入力し、インターネット経由で伝送する。
3)PSPを経由して決済処理をし、結果を戻す。
4)決済処理が完了したとしてオペレーターが受注を確定する。

テレフォンオーダーの受注フロー

2)でカード情報をPSPに伝送するために使用するパソコンは、「自社で保有する機器」である。つまりこの時点で、「カード情報」が『通過』することになるため、非保持とはみなされない。すなわちPCI DSS準拠が必要となる。例えばそのパソコンがキーロガーなどのマルウェアに感染して、データとして入力したカード情報が外部に流出する可能性がある。そのような事態は容易に想像できるため、それらのパソコンやファイアウォールに対してPCI DSSのコントロールが必要になる。

 

「非保持化」が困難な理由

ではMOTO加盟店が「カード情報非保持」の条件を満たすためには、どのようにすればいいだろうか。

「実行計画2017」では、スーパーマーケットや飲食店などの対面加盟店では、CCT及び同等のセキュリティ措置がされた決済端末のみで決済処理する場合は、「外回り方式」として非保持扱いになっている。

よって通販事業者などMOTO加盟店が、この方式をとった場合も非保持と解釈されるだろう。すなわち、「顧客から電話もしくは紙媒体で伝えられたカード情報を、PCではなく、CCTなど専用の決済端末に金額と共に1件ずつ入力し、独立した通信回線で決済処理する」という方法をとれば、「カード情報非保持」の条件を満たしていると考えられる。

加えて、この方式を採用したMOTO加盟店が、カード情報が含まれる紙の情報、それらをPDFにしたものや通話録音データを取引記録として保存していたとしても、それらは非保持扱いになる。

決済処理件数が少ないMOTO加盟店であれば、この方法での非保持化も不可能ではない。また古くからカード処理をしている通販事業者からすれば、昔の方法に戻るととらえるかも知れない。しかし、一定以上の取引規模の通販事業者などMOTO加盟店では、この方法への移行は現実的でないだろう。取引規模が多いMOTO加盟店では、決済処理をするPSP画面と受発注システムが連動するなど、決済業務が効率化されているためである。

 

SAQ C-VTでもハードルは高い

では、PCI DSSに準拠するのであれば、もっとも負担が少ないアプローチはどんな方法があるだろうか。

「実行計画2017」でも紹介された通り、主に通販事業者などのMOTO加盟店を対象とした自己問診(以下SAQ)であるSAQ C-VTが適用できる可能性がある。その適用条件を満たすことができれば、PCI DSSで定められた331項目のうち85項目に要件が緩和される。

PCI DSS 3.2 SAQ C-VTでは、SAQ C-VTを使用できる加盟店の条件として以下を挙げている。

 
・支払いはインターネットに接続されたWebブラウザによってアクセスされる仮想端末によって行われること
・仮想端末のペイメントソリューションはPCI DSS準拠のPSPによって提供されること
・仮想端末にアクセスするコンピューターは、自社システムから切り離されてインターネットに接続するコンピューターであること。
・自社で保有する機器において、カード会員データを『保存』、『処理』、『通過』しないこと。
 
要約すると、自社システムから全く切り離されたパソコンで、カード情報を1件ずつWebブラウザ上から入力する形態であれば、SAQ C-VTが該当することになる。

前述の自社の受発注のシステムとPSPの決済画面が連携している場合は適用できない。また受発注システムにカード情報を保存し、日次などのバッチで決済処理をする場合も同様である。

では、そうだった場合、使用するSAQは、何になるのだろうか?SAQ D加盟店版となるだろう。すなわち331項目のフルの対応が必要となると考えられる。しかし、この対応はMOTO加盟店にとって負担が極めて大きいため、緩和の要望も強く、通信販売やクレジットカード及びPSPの業界団体では、2017年6月現在も検討が続いているという。

 

紙の伝票と録音データにもPCI DSS準拠が必要

前述の通り、カード決済処理を紙の情報、それらをPDFにしたものや通話録音データのみで実施していた場合は、非保持扱いになる。非保持扱いになれば、PCI DSS準拠の必要はない。

しかし、非保持とPCI DSS準拠のハイブリッド適用はできないという原則がある。カード情報を自社のパソコンに入力する業務がある場合は、それらのMOTO加盟店は「非保持」を選択することができないため、PCI DSS準拠が必要となる。一旦PCI DSS準拠となるとグローバルなルールが適用され、カード情報が含まれる紙やそれらをPDF化したものや通話録音データもPCI DSSの対象範囲に含まれる。PCI DSSの対象範囲の考え方は、「準拠する事業体において、カード情報を取り扱う業務とシステム全体を含めなければならない」となっているからである。

結果としてPCI DSS準拠を選択したMOTO加盟店は、「実行計画2017」で非保持扱いとされているカード情報が含まれる紙情報なども、PCI DSSに準拠したコントロールをしなければならないということになる。次回は、その場合に複数のSAQのタイプを使用してPCI DSSに準拠する方法について解説したい。

PCI DSS Ready Cloudでは、PCI DSS v4.0への効率的な移行支援及び準拠を促進するクラウドサービスを提供しています。
是非一度、ご相談ください。
PCI DSS準拠を促進するクラウドサービスならPCI DSS Ready Cloud

■ PCI DSS の構築、維持・運用にかかるコストと工数を削減する
PCI DSS Ready Cloud マネージドモデルはこちら
 
■ AWSでの開発事業者や外部ベンダー/事業者との専用線接続がない場合に最適
PCI DSS Ready Cloud AWSモデルはこちら
 
■ 国内トップクラスのPCI DSS専門のコンサルタント集団によるPCI DSS準拠支援サービス
PCI DSS準拠支援コンサルティングはこちら
 
【関連記事】
PCI DSSとは?準拠が必要な企業とセキュリティ対策をガイダンス
【動画付き】PCI DSS バージョン4.0の特徴や変更点を解説
関連サービス:カード情報非保持化サービス Pay TG
関連サービス:BIZTELコールセンターPCI DSS

この記事が気に入ったら
いいね!しよう

PCI DSS 関連の最新記事をお届けします

  • このエントリーをはてなブックマークに追加