実行計画2017が求めるカード情報漏えい対策と PCI DSSの位置づけから生じているありがちな疑問点

みなさんこんにちは。ビジネス推進グループの沖です。

2020年の東京オリンピック開催に伴い、海外から多くの方が訪日され、クレジットカードの利用機会増が予想されています。
一方で不正利用と被害額の増加傾向が確認されており、日本が悪意のターゲットになりつつある状況への対策として、安全なカード利用環境整備を進めるプログラム「クレジットカード取引におけるセキュリティ対策強化に向けた実行計画2017」が推進されています。
実行計画2017は3つの安全対策の柱を含みますが、そのうちカード情報漏えい対策の実施期限は、対面加盟店を除き、2018年3月 です。
期限がせまってきたこともあり、対象となる各事業体では具体的検討および取組みが活発になってきている状況を感じています。

同時に、実行計画が求めるカード情報漏えい対策とPCI DSSの位置づけに関係して共通的に生じている疑問点が見えてきています。
日本カード情報セキュリティ協議会(JCDSC)にはそういった共通的疑問点が寄せられており、10月24日に開催されたコミュニティミーティングでもよくある疑問が取り上げられました。
以下では、PCI DSS上の解釈に関わるいくつかの疑問に対して、PCI DSS専門家がどう見ているかを記載します。

 

(a) PCI DSSの自己問診(SAQ)を用いた準拠確認を進めています。
実行計画において非保持が認められている紙媒体(申込はがき)は自己問診の評価項目において対象外(N/A)にできますか?

対象外にすることはできません。
PCI DSSは世界基準であり、非保持という日本ローカルの概念を持ち込むことはできません。

 

(b) コールセンター業務において、自社PCを利用して決済代行事業者へ送信する場合、実行計画における非保持の定義「自社で保有する機器・ネットワークにおいて「カード情報」を『保存』『処理』『通過』しないこと」にあてはまらなくなってしまい、PCI DSS準拠が必要になるが、ならば、決済代行事業者がPCと別回線を提供するケースなら非保持扱いになりますか?

2017年夏に追加された実行計画2017の補足ガイドラインが認めた入力業務における非保持化パターンに該当するならば、非保持扱いとなります。
おおざっぱに言うと、クレジットカード入力端末がPSPから提供され、MDM(Mobile Device Management)によって加盟店が設定を変えられない仕様であり、端末とPSP間通信の安全が確保される場合が該当します。

 

(c) 加盟店がカード情報の取扱い業務をサービスプロバイダに委託する場合、加盟店側は非保持扱いになりますか?

委託側加盟店は実行計画上の非保持に該当するものと考えられます。
ただし、PCI DSSが求める責任が無くなるわけではありません。
PCI DSSの要件12が求める情報セキュリティ管理分野の対応が必要であり、委託先のPCI DSS準拠状況確認等の責任があります。

 

(d) EC加盟店であり、非通過型(リンク型)を実現しているので非保持扱いになると考えています。
非保持ならPCI DSSを求めないとの考え方がありますが、PCI DSSの観点はどうなりますか?

非保持は日本の実行計画が定める日本ローカルの概念であり、世界基準のPCI DSSにはローカル概念への配慮はありません。
カード情報取扱に関する事業をしているならば、委託していて自社でカード情報取扱が無い場合でも、PCI DSS上の情報管理責任は残ります。
認められた準拠確認方法、自己問診か訪問審査によって準拠を確認して適切な状態を維持する必要があります。

 

(e) EC取引とMOTO通販事業の両方を持つ加盟店であって、EC取引が非通過型を実現している場合、EC取引部分は非保持に整理し、残る通販事業は自己問診SAQを用いて準拠を進めることはできますか?

日本ローカル概念の非保持と、国際基準PCI DSSの両方を用いるケースは、最近では通称ハイブリッドと呼ばれてきています。
ハイブリッドを成立させるためには、PCI DSSの範囲設定が重要です。
通販事業のPCI DSSスコープについてPCI DSSが求めるセグメンテーションができていることが前提となります。
通販用システムとEC取引用システムの共通機能が存在することが多いと考えられ、セグメンテーションに問題がある可能性があります。
PCI DSS専門家のアドバイスを求めることをお勧めします。

 

(f)サービスプロバイダは非保持をめざすことができますか?

日本の実行計画上どう解釈されるかというご質問はPCI DSS専門家が判断する話ではありませんが、実行計画に書かれている情報から考えると、サービスプロバイダは非保持が認められません。
実行計画には、「非保持化の考え方は加盟店を対象としている」との記述があり、サービスプロバイダは非保持概念の対象外となり、実行計画においてもPCI DSS準拠が求められます。
PCI DSSの自己問診で確認する場合には、SAQ D-Sが適用されます。
加盟店向けには確認項目数が限定された自己問診タイプが用意されているものの、サービスプロバイダ業態が選択可能な自己問診タイプは D-S です。

 

 

以上、実行計画が求める対策とPCI DSSとの関係から生じてきている、最近見えてきたありがちな疑問点について現状を整理してみました。
皆様のお悩み解決に若干でも役立てば幸いです。