『クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画』(実行計画)によると、「カード情報」は大きく「クレジットカード会員データ」と「機密認証データ」の2つに分けられる。前者には、「クレジットカード番号」「クレジットカード会員名」「サービスコード」「有効期限」が含まれる。一方の後者には、「全トラックデータ」「セキュリティコード」「PIN(暗証番号)またはPINブロック」が含まれている。
改正割賦販売法ではクレジットカードのみが規制の対象となるが、PCI DSSにおけるカード情報(PCI DSSの用語では「アカウントデータ」)の定義では、国際ブランド(American Express/Discover/JCB/Mastercard/Visa)のクレジットカードだけでなく、デビットカードやプリペイドカードも含まれる。2つの基準で、保護規制の対象となるカード情報が異なることに注意が必要だ。
▼カード情報の定義
実行計画の基本的な考え方は、「そもそもカード情報を自社で保持していなければ、悪意のある者から狙われるリスクが低減され、カード情報保護の観点から効率的な対策となる」というものだ。このため、「非保持化」を最優先の対策として推進している。
非保持化という概念の原型が登場したのは、日本クレジット協会が2012年3月に発表した『日本におけるクレジットカード情報管理強化に向けた実行計画』である。
当時は、EC(電子商取引)加盟店において自社サーバー上に保存したカード情報の流出事件が多発していた。これを受けて、EC加盟店をはじめとする非対面加盟店はカード情報を保存しないようにすること、さらにPCI DSSに準拠済みの決済代行事業者(PSP:Payment Service Provider)に決済処理を含めたカード情報の取り扱いを委託する形態を推進することが決まった。
2016年に発表された『クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画 -2016-』(実行計画2016)では、この考え方を引き継いで、非保持の概念を「サーバーにおいてカード情報を『保存』『処理』『通過』しないこと」とした。
しかし、EC加盟店以外の業態では、カード情報はサーバー以外を通過することもある。例えば、対面加盟店のPOS(販売時点情報管理)端末でカード情報を処理・通過する場合や、通信販売などの決済処理のためにコールセンターのPCでカード情報を入力するような場合である。
実行計画2016では、こうした場合の解釈が曖昧になっていたが、実行計画2016を改訂した『クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画 -2017-』(実行計画2017)では非保持の概念を次のように定義することで明確にした。この考え方は、実行計画2018でも引き継がれている。
▼以下引用
「非保持化」とは、カード情報を保存する場合、それらの情報は紙のレポートやクレジット取引にかかる紙伝票、紙媒体をスキャンした画像データ等のネットワークにおいて「カード情報」を『保存』、『処理』、『通過』しないこ
と」をいう(実行計画2018のp.11)
実行計画2017以降は、実行計画2016における「サーバー」を「自社で保有する機器・ネットワーク」と変更したのだ。このため、サーバー以外の機器やネットワークをカード情報が通過する場合は非保持にはならないことになる。さらに、「電磁的に送受信しないこと」と明示することで、紙に記載されたカード情報については、それらを保持していたとしても非保持に該当することが明記された。ただし、非保持と見なされるとはいえ、紙の情報は鍵をかけたロッカーに保管するなど、カード情報を保護するための一般的な対策が必要である。
クレジットカード情報保護において、非保持化がPCI DSS準拠と同等であると見なされるのは、クレジットカード加盟店だけであることに留意する必要がある。実行計画では、カード発行会社(イシュアー)、加盟店契約会社(アクワイアラー)、サービスプロバイダー(PSP、プロセシング事業者=決済データの処理などを受託する会社など)といった加盟店以外でカード情報を取り扱う事業者に対しては、カード情報の保持を前提とした適切な対策の構築を求めている。そのため、それらの事業者には非保持化という選択肢はなく、PCI DSSへの準拠が求められる。
(共著:fjコンサルティング代表取締役CEO 瀬田陽介
PCI Security Standard Council アソシエイト・ダイレクター 日本 井原亮二)
※出所:書籍『改正割賦販売法でカード決済はこう変わる』(日経BP社、2018年4月発行)から著者および出版社の許諾を得て転載
■書籍の詳細はこちら(日経BP社):
改正割賦販売法でカード決済はこう変わる
共著者 紹介
瀬田 陽介氏
fjコンサルティング株式会社 代表取締役CEO
PCI DSSの認定評価機関(QSA)代表、日本初のPCI SSC認定フォレンジック機関(PFI)ボードメンバーを経て2013年fjコンサルティング株式会社を設立。キャッシュレスやセキュリティのコンサルタントとして、講演・執筆活動を行う。直近の著書『
改正割賦販売法でカード決済はこう変わる』(日経BP社)。
PCI DSS Ready Cloudでは、PCI DSS v4.0への効率的な移行支援及び準拠を促進するクラウドサービスを提供しています。
是非一度、ご相談ください。
PCI DSS準拠を促進するクラウドサービスならPCI DSS Ready Cloud
■ PCI DSS の構築、維持・運用にかかるコストと工数を削減する
■ AWSでの開発事業者や外部ベンダー/事業者との専用線接続がない場合に最適
■ 国内トップクラスのPCI DSS専門のコンサルタント集団によるPCI DSS準拠支援サービス