加盟店の「PCI DSS準拠」、最初のアプローチ

みなさん、こんにちは。Kです。

最近、弊社にお問い合わせいただいている加盟店では、加盟している業界団体からPCI DSSへの準拠を求められていると聞きました。
ここで求められているのはPCI DSSへの準拠であり、実行計画2017への対応ではありません。

多くの加盟店においては、「実行計画2017」で定義されている“非保持”にできないかを検討し対応されていると思いますが、業務上、カード会員情報を自社システム内に保存する必要がある等で非保持にできない場合や、今回のお客様のように最初から「PCI DSS準拠」を求められた場合に、まず最初にどうしたらよいのかがわからない、という加盟店の方々が多くいらっしゃるのではないかと想像しています。
そこで、あらためて、「PCI DSS準拠」への最初のアプローチはどうしたらよいのかを整理してみました。

 

ほんとうに「PCI DSS準拠」が必要か?

PCI DSSの適用性情報の項には、「PCI DSSはペイメントカードの処理を行うすべての事業体に適用されます」と書かれていますので、クレジットカードを利用した取引が1件でもあるのであれば、PCI DSSへの準拠が必要になります。逆にクレジットカードの取引がまったく無い場合や、あり得ないとは思いますがクレジットカードでの取引を止めるということであればPCI DSS準拠は不要です。この場合、クレジットカード番号等のカード会員情報を自社で持つとか持たないとかということは関係ありません。あくまでもクレジットカード取引の有無で判断します。PCI DSSでは実行計画2017における“非保持=PCI DSS適用除外”という考え方はありません。
PCI DSSの正式日本語訳版はこちらから入手できますので、PCI DSSv3.2の7ページのPCI DSS適用性情報の項をご確認ください。
●PCI SSC ドキュメントライブラリ
https://ja.pcisecuritystandards.org/minisite/env2/

 

どのように準拠審査がされるのか?

では、PCI DSSへの準拠が必要となった場合にはどのようなPCI DSS準拠審査が適用されるのでしょうか。
PCI DSSの審査は大きく分けてQSAと呼ばれる認定審査機関の認定審査員による訪問審査とSAQと呼ばれる自己問診による審査の2種類があります。SAQ(自己問診)というのは、文字通り自組織でPCI DSS要件を満足しているかを自ら確認し、組織の責任者がサインすることで、「私たちはPCI DSSに準拠しています」ということを宣言する方法です。VISA、JCBといったカードブランドによってQSA訪問審査が必要かSAQ(自己問診)でOKかの判断基準が異なりますが、加盟店ですと年間10万件を超えないカード取引の場合にはSAQ(自己問診)でOKとなります。
この判断基準は、以下の各カードブランドのサイトで確認できます。
●VISA
http://www.visa-asia.com/ap/jp/merchants/riskmgmt/ais_how.shtml
●JCB
http://www.global.jcb/ja/products/security/data-security-program/
●MasterCard
http://www.mastercard.co.jp/merchants/security-what-can-do-sdp-levels.html

 

どのSAQ(自己問診)を適用すべきか?

加盟店に適用されるSAQには、SAQ A、SAQ A-EP、SAQ B、SAQ B-IP、SAQ C、SAQ C-VT、SAQ P2PE、SAQ D Marchantの8種類のSAQがあります。カード会員情報をどのように取扱うかでどのSAQを適用するかが変わります。
たとえば、自社システムにカード会員情報をデータとして保存せず、ペイメントプロセッサにIP接続されたPCI PTS認定のスタンドアロン型加盟店端末のみでカード会員情報を処理する加盟店の場合は、SAQ B-IPが適用され、そのチェック項目数は88あります。PCI PTSとはPCI SSCによって定められたPIN(暗証番号)を入力する装置に関するセキュリティ基準です。また、電話やハガキ・FAXで注文を受け付ける非対面取引の加盟店で、自社システムにはカード会員情報の保存をせず、インターネットに接続されたパーソナルコンピューターでサービスプロバイダ等の第三者が用意するWeb サイトへWeb ブラウザでアクセスして手入力する、という場合には、SAQ C-VTが適用され、そのチェック項目数は85となる、といった具合になります。
自社にはどのSAQが適用されるのかの判断基準は、こちらに日本語訳が掲載されていますので参照してみてください。
●JCDSC(日本カード情報セキュリティ協議会)「SAQタイプ別の説明」
http://www.jcdsc.org/topics/pdf/SAQ-type-20170701_Ver3.2.pdf

もし、対面取引と非対面取引というように複数のカード会員情報の取扱いがあるケースでしたら、これらの情報の取扱いが完全に分離されていれば、たとえばB-IPとC-VTの2つのSAQを実施することも、これらを包含するSAQ D Marchantひとつを選択し実施することもどちらも可能です。SAQ D Marchantのチェック項目数は331ありますが、たとえば自社システムへのカード会員情報の保管が無い等、求められる要件の前提に該当しないチェック項目は、すべてN/A(該当なし)にすればよいので、SAQ D Marchantを選択したからと言って実際に対応する必要のある要件が大幅に増えるということはありません。
複数あるカード会員情報の取扱いが同じサーバーで扱われる等、分離されていない場合にはSAQ D Marchantしか選択できません。
なお、SAQ は、今年の1月に改訂されており、2017年10月よりv3.2r1.1版の使用が必要ですのでご注意ください。r1.1版 の正式日本語訳は現時点では存在しません。
v3.2r1.1英語版がこちらに掲載されています。
●PCI SSC DOCUMENT LIBRARY
https://www.pcisecuritystandards.org/document_library?category=saqs#results

 

脆弱性検査は必要か否か?

以前、弊社のプライベートセミナーほかでご質問いただいた疑問点です。カード会員情報を扱う情報システムがある場合には、PCI DSSの要件5のなかで定期的な脆弱性検査の実施が要求されていますが、例外があります。これもカードブランドによってその基準が異なります。

 VISA:VISAアカウントの月間平均取扱件数が10,000件未満の場合は不要
 JCB:インターネットを介したJCBカード情報の取扱がない場合は不要(2018年4月以降は必要) 
 MasterCard:例外なし。全て必要。

こうして見てみると、VISAしか取引がないということは無いでしょうし、JCBの基準が厳しくなっていますので、カード会員情報を扱う情報システムがある場合には脆弱性検査は必要と考えたほうが良いようです。当然ながらインターネットへの接続がなければASV(認定スキャンベンダー)による外部脆弱性検査の必要はありません。
こちらについても詳細は前述のカードブランドのサイトに掲載されている基準をご確認ください。

 

まとめ

加盟している業界団体より「PCI DSSに準拠してください」と言われているということは、カード取引がある以上は、最低でもSAQ A 22項目に対応し、問題なく対応できていることを確認して組織の責任者がサインすることが求められます。決して実行計画でいうところの“非保持”化したのでPCI DSS準拠不要ということではありません。

SAQの選択基準やSAQの要件の解釈と対応の仕方、SAQ記入方法等々、なかなか自社で判断し対応することが難しいケースが多くあろうかと思います。そのような場合には専門のコンサルタントやアドバイザーを使われることをお勧めします。

 

自分自身の頭のなかのモヤモヤを整理することを含め、このブログを書いてみました。
多少でも参考になれば幸いです。