Skip to main content

Japan

急増中!カード情報“非保持化の誤解”に注意

急増中!カード情報“非保持化の誤解”に注意

 クレジット取引セキュリティ対策協議会が取りまとめた『クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画-2018-(以降、実行計画2018)』で求められている、クレジットカード情報保護対策のひとつの方法として、カード情報の“非保持化”があります。私どもにお問い合わせをいただく企業様からも、「クレジットカード対応 は“外回り方式”で行うので、PCI DSS準拠は必要ないですよね?」とのお話は多いのですが、実際に“非保持化”を完全に実現できるケースは少ないのが実情です。今回はカード情報“非保持化の誤解”についてご紹介します。

カード決済時だけの対策で充分なのか?

 実行計画2018によれば、非保持化とは、「カード情報を保存する場合、それらの情報は紙のレポートやクレジット取引にかかる紙伝票、紙媒体をスキャンした画像データ等のみであり、電磁的に送受信しないこと、すなわち自社で保有する機器・ネットワークにおいて『カード情報』を『保存』、『処理』、『通過』しないこと」と定義されています。
 自社が展開する実店舗でクレジットカード利用を可能にしている企業様は、実行計画2018の定義では「対面加盟店」に求められるセキュリティ対策を実施する必要があります。多くの場合、外部事業者から提供される決済専用端末(CCTもしくはCCT相当のセキュリティ準拠)を店舗に設置し、専用のネットワークからカード決済ネットワークに接続させる「外回り方式」を採用もしくは検討されるケースをよくお聞きします。店舗システムのPOS端末と決済専用端末とは、売上金額と決済結果のみのデータ連携とすることで、「自社で保有する機器・ネットワークで『カード情報』を『保存』、『処理』、『通過』しない」という“非保持化”の要件は満たしていると考えられるからです。

 しかし、ここでもう一歩踏み込んで考える必要があります。カードホルダーがクレジットカードを利用する場面のカードセキュリティ対策だけで、自社のクレジットカード情報保護対策が完了しているのか、ということです。顧客管理や売上管理などの自社業務システムにおいてカード番号を利用している場合は、外回り方式の導入だけでは自社の対策が完了とはなりません。
 この問題は、暗号化対策を実装した専用端末を使い、暗号化されたクレジットカードデータを自社ネットワークからクレジット決済プロバイダーを経由してカード決済ネットワークに接続させる「内回り方式(非保持と同等/相当)」においても同様です。
 例えば、提携クレジットカードを発行し、ポイント会員サービスの会員カード機能を持っているような場合です。POSシステムと連携したCRMシステムで会員情報・ポイント情報を管理している場合、会員識別用の番号(ポイント会員番号など)にカード番号を活用しているようなことはないでしょうか。また、CRMに積極的な企業様では、販促プロモーションの対象顧客の抽出キーとしてカード番号を顧客データベースで管理していませんか。

PAN(クレジットカード番号)を使って(持って)いませんか?

 “非保持化”の定義における「自社で保有する機器・ネットワーク」は、カード決済系システムだけを指すものではなく、その企業が保有する全ての機器・ネットワークを含むものです。したがって、“非保持化”の実現のためには、社内の全ての機器・ネットワークにおいてカード情報を保存、処理、通過しない状態を構築することが不可欠となります。従来、カード番号を多方面で活用してきた企業様ほど、完全な“非保持化”実現への道は困難なものになってしまうのです。

次ページは:そのような状況で“非保持化”を実現する方法とは

  • 1
  • 2

次へ

関連サービス

  • 現状分析から、実装支援、審査支援まで、準拠に必要な12要件すべてに対して、ワンストップでサービスを提供します。また、効率的なPCI DSS準拠に向け、お客様環境に合わせた各種ツールも提供しております。

    【実績】
    ISMS、プライバシーマーク等、認証取得支援で培ったノウハウを活用し、クレジットカード情報を取り扱う様々な企業様を支援(66社87サービス;2018年5月末実績)

  • PCI DSS準拠支援サービス
  • PCI DSSセキュリティコントロールサービス