デビットカードやプリペイドカードの情報も保護の対象か? | PCI DSS Ready Cloud

デビットカードやプリペイドカードの情報も保護の対象か?

  • このエントリーをはてなブックマークに追加
改正割賦販売法はクレジットカード番号等に対して適切な管理を義務付けているが、国際ブランドのルールでは管理の対象を「ペイメントカード」と規定している。これには、クレジットカードだけでなくデビットカードやプリペイドカードも含まれる。カード番号では、これらのカード種別を識別できないため、全てを対象と見なして保護する必要がある。

欧米では、これらのカードはいずれも銀行本体の事業に位置付けられている。銀行を源流とするMastercardやVisaは、一連のカード商品を全て網羅している。一方、日本国内では割賦販売から発展したクレジットカードを割賦販売法の下で経済産業省が監督している。同法が実務上の指針に位置付けたクレジット取引セキュリティ対策協議会による実行計画も、表題は「クレジットカード取引における」となっており、デビットカードやプリペイドカードには言及していない。

とはいえ加盟店は、カード種別を意識せずに同一のカード決済端末で同等に扱っている。カード情報を保護する観点からは、デビットカードやプリペイドカードもクレジットカードと同等に管理・保護するべきである。

また、預金の払い出しや貸し付けを行うATM(現金自動預け払い機)取引も、割賦販売法の範疇ではない。しかしATMでもキャッシングのためにクレジットカード情報を処理・伝送しているので、加盟店と同等のカード情報保護が求められるはずだ。ところが、よりどころとなる枠組みや法律要件は存在しない。デビットカードやプリペイドカードによるATM取引も、実行計画の対象外である。同じ国際ブランドのカードであっても、カード種別によってよりどころとなる法制度や監督官庁が異なるのだ。(図)

▼図 カード決済に関する法律とPCI DSSの適用対象
国際ブランドのルールでは、ATM取引の場合でも、海外発行のペイメントカード情報を保存・処理・通過する全ての事業者に対してPCI DSS準拠を求めている。国際ブランドのロゴマークが付いたカードを取り扱う事業者は、PCI DSSに準拠する義務を負っている。ここには、日本特有の非保持化の考え方は存在しない。PCI DSSへの準拠を怠ると、国際ブランドのカードの取り扱いができなくなる。

(共著:fjコンサルティング代表取締役CEO 瀬田陽介
PCI Security Standard Council アソシエイト・ダイレクター 日本 井原亮二)

※出所:書籍『改正割賦販売法でカード決済はこう変わる』(日経BP社、2018年4月発行)から著者および出版社の許諾を得て転載

    ■書籍の詳細はこちら(日経BP社):改正割賦販売法でカード決済はこう変わる

 
PCI DSS Ready Cloudでは、PCI DSS v4.0への効率的な移行支援及び準拠を促進するクラウドサービスを提供しています。
是非一度、ご相談ください。
PCI DSS準拠を促進するクラウドサービスならPCI DSS Ready Cloud

■ PCI DSS の構築、維持・運用にかかるコストと工数を削減する
PCI DSS Ready Cloud マネージドモデルはこちら
 
■ AWSでの開発事業者や外部ベンダー/事業者との専用線接続がない場合に最適
PCI DSS Ready Cloud AWSモデルはこちら
 
■ 国内トップクラスのPCI DSS専門のコンサルタント集団によるPCI DSS準拠支援サービス
PCI DSS準拠支援コンサルティングはこちら
 
【関連記事】
PCI DSSとは?準拠が必要な企業とセキュリティ対策をガイダンス
【動画付き】PCI DSS バージョン4.0の特徴や変更点を解説
 
監修者
 瀬田 陽介氏
fjコンサルティング株式会社
代表取締役CEO

 
PCI DSSの認定評価機関(QSA)代表、日本初のPCI SSC認定フォレンジック機関(PFI)ボードメンバーを経て2013年fjコンサルティング株式会社を設立。キャッシュレスやセキュリティのコンサルタントとして、講演・執筆活動を行う。直近の著書『改正割賦販売法でカード決済はこう変わる』(日経BP社)。

 

この記事が気に入ったら
いいね!しよう

PCI DSS 関連の最新記事をお届けします

  • このエントリーをはてなブックマークに追加