急増中!カード情報“非保持化の誤解”に注意

 クレジット取引セキュリティ対策協議会が取りまとめた『クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画-2018-(以降、実行計画2018)』で求められている、クレジットカード情報保護対策のひとつの方法として、カード情報の“非保持化”があります。私どもにお問い合わせをいただく企業様からも、「クレジットカード対応 は“外回り方式”で行うので、PCI DSS準拠は必要ないですよね?」とのお話は多いのですが、実際に“非保持化”を完全に実現できるケースは少ないのが実情です。今回はカード情報“非保持化の誤解”についてご紹介します。

カード決済時だけの対策で充分なのか?

 実行計画2018によれば、非保持化とは、「カード情報を保存する場合、それらの情報は紙のレポートやクレジット取引にかかる紙伝票、紙媒体をスキャンした画像データ等のみであり、電磁的に送受信しないこと、すなわち自社で保有する機器・ネットワークにおいて『カード情報』を『保存』、『処理』、『通過』しないこと」と定義されています。
 自社が展開する実店舗でクレジットカード利用を可能にしている企業様は、実行計画2018の定義では「対面加盟店」に求められるセキュリティ対策を実施する必要があります。多くの場合、外部事業者から提供される決済専用端末(CCTもしくはCCT相当のセキュリティ準拠)を店舗に設置し、専用のネットワークからカード決済ネットワークに接続させる「外回り方式」を採用もしくは検討されるケースをよくお聞きします。店舗システムのPOS端末と決済専用端末とは、売上金額と決済結果のみのデータ連携とすることで、「自社で保有する機器・ネットワークで『カード情報』を『保存』、『処理』、『通過』しない」という“非保持化”の要件は満たしていると考えられるからです。

 しかし、ここでもう一歩踏み込んで考える必要があります。カードホルダーがクレジットカードを利用する場面のカードセキュリティ対策だけで、自社のクレジットカード情報保護対策が完了しているのか、ということです。顧客管理や売上管理などの自社業務システムにおいてカード番号を利用している場合は、外回り方式の導入だけでは自社の対策が完了とはなりません。
 この問題は、暗号化対策を実装した専用端末を使い、暗号化されたクレジットカードデータを自社ネットワークからクレジット決済プロバイダーを経由してカード決済ネットワークに接続させる「内回り方式(非保持と同等/相当)」においても同様です。
 例えば、提携クレジットカードを発行し、ポイント会員サービスの会員カード機能を持っているような場合です。POSシステムと連携したCRMシステムで会員情報・ポイント情報を管理している場合、会員識別用の番号(ポイント会員番号など)にカード番号を活用しているようなことはないでしょうか。また、CRMに積極的な企業様では、販促プロモーションの対象顧客の抽出キーとしてカード番号を顧客データベースで管理していませんか。

非保持化の実現に役立つトークナイゼーション

 このように、自社業務システムでカード番号が利用されている企業様は店舗でのクレジットカード利用への対策だけなく、カード番号を利用しているシステムへのカード情報セキュリティ対策を検討する必要があります。こういった企業様の“非保持化”を実現するための方法の一つとして、“トークナイゼーション”という技術の活用があります。この技術は数値データを乱数により生成する、トークンという意味を持たない別の数字に変換するものです。トークンを利用することで「カード番号とはみなさない」ものとすることができ、業務システムを“非保持化”することが可能となるのです。

 カード番号の“トークナイゼーション”では、16桁の数字の羅列であるカード番号を同じ16桁のトークンに変換します。変換前も変換後も同様のフォーマットおよびデータ長なので、先ほど例に挙げた会員管理システム、顧客管理システムのデータベースでカード番号を保存・活用しているようなケースでも、トークンによる会員データ、顧客データの管理が可能となります。

 ただし、“トークナイゼーション”を活用して“非保持化”を実現するためには、自社内でカード番号が特定できないことが必須となります。トークンが意味をもつためには、トークンと紐ついたカード番号を管理し、かつデトークン(トークンをカード番号に戻すこと)する仕組みが必要であり、この仕組みはPCI DSS準拠が必要です。自社内にトークナイゼーションの仕組みを持つ場合は、カード情報を保持しているとみなされ、PCI DSS準拠が必要となります。

準拠スコープ(範囲)の縮小化

 以上のことから、各企業様のカード情報が自社の中でどのような業務で利用されているのかを把握していくと、「クレジットカード決済を外回りで対応」することが、「非保持化している」ということには、必ずしもならないことがご理解いただけたと思います。重要なことは、カード情報を保存・処理・通過させる範囲を非保持化などを活用し、どんどん縮小させ、どうしても必要な部分(先の例ではトークナイゼーションの仕組み)についてはPCI DSS準拠に向けた対応を検討する、という「準拠スコープの縮小化」という取り組みです。

 非保持化できる部分を見極め、非保持化できない・カード番号を持たざるを得ない箇所はどこかを特定し、必要な範囲を明確にしてPCI DSS準拠対応を検討するという取り組みが、自社のカード情報の適切な管理を達成するための、有効かつ効率的な方法であるといえるのではないでしょうか。

著者プロフィール(所属・役職は執筆当時のものです)

富士通エフ・アイ・ピー株式会社
SaaSソリューション事業部主席部長
仁木 裕子氏

関連サービス

現状分析から、実装支援、審査支援まで、準拠に必要な12要件すべてに対して、ワンストップでサービスを提供します。また、効率的なPCI DSS準拠に向け、お客様環境に合わせた各種ツールも提供しております。

【実績】
ISMS、プライバシーマーク等、認証取得支援で培ったノウハウを活用し、クレジットカード情報を取り扱う様々な企業様を支援(66社87サービス;2018年5月末実績)

誰でもわかる! PCI DSSの要件と対処方法

「PCI DSS準拠」と「非保持化」を効果的に進めるには?

Webでのお問い合わせはこちら

  • 入力フォーム

    当社はセキュリティ保護の観点からSSL技術を使用しております。

お電話でのお問い合わせ

ページの先頭へ