Skip to main content

Japan

「PCI DSS準拠」と「非保持化」を効果的に進めるには?

「PCI DSS準拠」と「非保持化」を効果的に進めるには?

 クレジット取引セキュリティ対策協議会の「クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画」では、非対面( EC )加盟店については2018年3月末までを目標期限に原則として「非保持化」(保持する場合は 「PCI DSS準拠」)、対面加盟店については2020年3月末までに「非保持化」または「PCI DSS準拠」することが求められました。

実行計画で求められる「PCI DSS準拠」と「非保持化」

具体的なステップとは

 「PCI DSS準拠」については、前回の「誰でもわかる!PCI DSSの要件と対処方法」でもお伝えした通り、「オンサイト監査(QSA)」「自己問診(SAQ)」といった検証方法があり、自社のカード情報の取扱い形態や規模によって、必要な検証を実施することとなります。
その具体的なステップとしては、

  1. PCI DSSが求める要件と自社のセキュリティ対策レベルにどのようなギャップがあるのかを見極める「現状分析」
  2. 準拠の対象範囲を確定する「スコープ決め」
  3. ギャップを埋めるために必要なソリューションを導入する「実装」
  4. 対応するスタッフの教育・訓練などを行い、実稼働につなげる「運用」
  5. セキュリティテスト、内部監査などを行う「検査」

などがありますが、いずれもPCI DSSに関する正確な知識と一定の経験を必要とするものであり、特に初回認証に関してはコンサルタントなどを起用しても相当の時間とコストが必要となるケースが多いようです。

 一方、「非保持化」はクレジットカード番号を“保持”しないことで、PCI DSS準拠の対象外となるもので、例えば、POSレジに決済専用端末を外付けしてカード情報を処理するなどして、自社の決済端末をクレジットカード番号が「通過」せず、「処理」「保存」もしないようにする「外回り方式」の採用が一般的です。
 「外回り方式」であれば、確かに決済においては自社端末をクレジットカード番号が「通過」せず、「処理」「保存」もしないのですが、実際には、例えば顧客管理やポイント付与、販促プロモーションなど、さまざまな業務システムでクレジットカード番号を利用しているケースが多く見受けられます。これらのシステムでもクレジットカード番号の利用を止めようとすれば、全社的なシステム改修を行わなくてはならず、そのために相当な時間とコストが必要となることは言うまでもありません。

次ページは:PCI DSS対応の課題とは?

  • 1
  • 2

次へ

関連サービス

  • 現状分析から、実装支援、審査支援まで、準拠に必要な12要件すべてに対して、ワンストップでサービスを提供します。また、効率的なPCI DSS準拠に向け、お客様環境に合わせた各種ツールも提供しております。

    【実績】
    ISMS、プライバシーマーク等、認証取得支援で培ったノウハウを活用し、クレジットカード情報を取り扱う様々な企業様を支援(66社87サービス;2018年5月末実績)

  • PCI DSS準拠支援サービス
  • PCI DSSセキュリティコントロールサービス