「PCI DSS準拠」と「非保持化」を効果的に進めるには?

 クレジット取引セキュリティ対策協議会の「クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画」では、非対面( EC )加盟店については2018年3月末までを目標期限に原則として「非保持化」(保持する場合は 「PCI DSS準拠」)、対面加盟店については2020年3月末までに「非保持化」または「PCI DSS準拠」することが求められました。

実行計画で求められる「PCI DSS準拠」と「非保持化」

具体的なステップとは

 「PCI DSS準拠」については、前回の「誰でもわかる!PCI DSSの要件と対処方法」でもお伝えした通り、「オンサイト監査(QSA)」「自己問診(SAQ)」といった検証方法があり、自社のカード情報の取扱い形態や規模によって、必要な検証を実施することとなります。
その具体的なステップとしては、

  1. PCI DSSが求める要件と自社のセキュリティ対策レベルにどのようなギャップがあるのかを見極める「現状分析」
  2. 準拠の対象範囲を確定する「スコープ決め」
  3. ギャップを埋めるために必要なソリューションを導入する「実装」
  4. 対応するスタッフの教育・訓練などを行い、実稼働につなげる「運用」
  5. セキュリティテスト、内部監査などを行う「検査」

などがありますが、いずれもPCI DSSに関する正確な知識と一定の経験を必要とするものであり、特に初回認証に関してはコンサルタントなどを起用しても相当の時間とコストが必要となるケースが多いようです。

 一方、「非保持化」はクレジットカード番号を“保持”しないことで、PCI DSS準拠の対象外となるもので、例えば、POSレジに決済専用端末を外付けしてカード情報を処理するなどして、自社の決済端末をクレジットカード番号が「通過」せず、「処理」「保存」もしないようにする「外回り方式」の採用が一般的です。
 「外回り方式」であれば、確かに決済においては自社端末をクレジットカード番号が「通過」せず、「処理」「保存」もしないのですが、実際には、例えば顧客管理やポイント付与、販促プロモーションなど、さまざまな業務システムでクレジットカード番号を利用しているケースが多く見受けられます。これらのシステムでもクレジットカード番号の利用を止めようとすれば、全社的なシステム改修を行わなくてはならず、そのために相当な時間とコストが必要となることは言うまでもありません。

PCI DSS対応の課題

準拠レベルの維持のための日常的な取り組みが求められる

 このように、PCI DSSへの対応では、「PCI DSS準拠」「非保持化」のいずれの形態にせよ、専門的な知識を持つスタッフが、相当な時間とコストを費やして対応することが必要となりますが、これは一過性のものではありません。例えば、「PCI DSS準拠」を選択した場合、その準拠レベルを維持し続けなければならないのです。
 PCI DSS には、「セキュリティコントロールが適切に実施されていることを確認するには、PCI DSS を事業体の総合セキュリティ戦略の一環として日常業務(BAU)に組み込む必要があります」という記述があります。その具体的な内容としては、以下の1~6が挙げられていますが、このような取り組みを日常的に行うことにより、PCI DSSが求める準拠レベルを常に維持していくことが求められているのです。

  1. セキュリティコントロールの監視
  2. セキュリティコントロールの障害の検出と対処
  3. 変更完了前の環境変更の確認
  4. 組織構造変更時のPCI DSS 範囲と要件への影響のレビュー
  5. PCI DSS 要件が引き続き満たされていることを確認
  6. 各種テクノロジーのレビュー

「準拠」や「非保持化」を効率的に進めるために

具体性のある支援サービスの活用が有効

 PCI DSS を運営・管理するPCI SSCでは、PCI DSSの要件は、定期的に見直されます。「PCI DSS準拠」を行う企業は、常にその内容をキャッチアップし、対応することが求められているわけですが、社内のリソースだけで対応を行おうとすると、その負担は非常に大きなものとなります。その対応策として考えられるのが、PCI DSSに関して高い専門性を有するベンダーが提供するさまざまな支援サービスの活用です。
 既に多くのベンダーがさまざまなサービスを提供しており、富士通エフ・アイ・ピーでも、「PCI DSS準拠支援サービス」「PCIDSS セキュリティコントロールサービス」などをご用意していますが、これらのサービスを選択する上で重要なのは、PCI DSSが求める要件と自社のセキュリティ対策レベルのギャップを埋めるために実装すべきソリューションまでをラインナップした、具体性のあるサービスであるかという点です。
 「非保持化」においても定期的にその対策状況が確認されることから、非保持化状態を維持し続けることが必要となります。
 「PCI DSS準拠」や「非保持化」は、近年になって迅速な対応が求められるようになったテーマであり、その歴史が浅いことから、支援サービスの内容も玉石混淆という状況です。例えば、コンサルティングに主眼が置かれ、必要なソリューションの導入については、個別に対応しなければならないような支援サービスもあり、このようなサービスを利用した場合には、社内担当者の負担がさほど軽減されないということにもなりかねません。
 ぜひ、適切な支援サービスを選択して、「準拠」や「非保持化」を効率的に進めていただきたいと思います。

著者プロフィール(所属・役職は執筆当時のものです)

富士通エフ・アイ・ピー株式会社
SaaSソリューション事業部主席部長
仁木 裕子氏

関連サービス

現状分析から、実装支援、審査支援まで、準拠に必要な12要件すべてに対して、ワンストップでサービスを提供します。また、効率的なPCI DSS準拠に向け、お客様環境に合わせた各種ツールも提供しております。

【実績】
ISMS、プライバシーマーク等、認証取得支援で培ったノウハウを活用し、クレジットカード情報を取り扱う様々な企業様を支援(66社87サービス;2018年5月末実績)

誰でもわかる! PCI DSSの要件と対処方法

急増中!カード情報“非保持化の誤解”に注意

Webでのお問い合わせはこちら

  • 入力フォーム

    当社はセキュリティ保護の観点からSSL技術を使用しております。

お電話でのお問い合わせ

ページの先頭へ