2018年6月5日8:00
2018年6月の改正割賦販売法の施行、実行計画におけるEC加盟店の遵守期限が迫って参りました。日本カード情報セキュリティ協議会(JCDSC)は、国内においてPCI DSSの普及・啓蒙活動を行っています。今回はPCI基準の最新動向、国内でのPCI DSSの推進状況などについて紹介します。
■日本カード情報セキュリティ協議会 事務局長 鍋島聡臣氏(NTTデータ先端技術)
日本カード情報セキュリティ協議会の活動について
日本カード情報セキュリティ協議会(JCDSC)は、カード情報セキュリティに関係する国内企業が協力し、カード情報の保護に向けた情報を交換・連携する場として活動しています。2009年4月21日に設立し、現在221社が参加しています。
PCI DSSの審査会社(QSA)を中心に話し合いを始めたのが設立のきっかけですが、現在は会員企業が増えており、2018年2月段階で221社が参加しています。カード情報の保護に関する基準の普及・啓蒙に加え、さまざまな活動を行っています。内部には、認定審査会社の審査品質向上として「QSA部会」、カード情報の保護に役立つ製品やサービスについて議論する場としての「ベンダー部会」、非保持化や加盟店の立場での準拠を情報共有するといった「ユーザー部会」など、さまざまな部会を立ち上げて議論しています。
これらの活動により、PCI SSCや日本クレジット協会など、各関係機関への情報提供と協力体制の構築が進んでいます。また、各種イベントやセミナーを主催しています。
2017年の活動として、PCI SSCと連携して、PCI DSS Version3.2、SAQ Version 3.2日本語版を5月に公開しました。また、PCI SSCのスタッフが来日した際はミーティングを行っており、インターナショナルディレクターのジェレミー・キング氏とは5月と11月にミーティングを行いました。通常は欧州や米国で実施しているQSAやISA(内部監査人)のトレーニングを日本でも開催してほしいという要望を出したところ、2017年11月に実施していただきました。今年は2018年5月23日、24日にPCI SSC主催で「アジア太平洋地域コミュニティ・ミーティング」が開催されますが、微力ながらお手伝いもさせていただいています。
JCDSC主催として、6月に「PCI DSSセキュリティフォーラム」、7月に「PCI P2PEセミナー」、9月に「“カード情報非保持”支援セミナー」、11月に「SAQ作成実務と非保持支援セミナー」、2018年1月に「非保持申告の確認セミナー」を開催しました。
国内におけるクレジットカード情報保護の推進状況
国内におけるクレジットカード情報保護の推進状況として、改正割賦販売法の公布(施行は2018年6月)に対応する形で、クレジット取引セキュリティ対策協議会の策定した実行計画が厳しいスケジュールの中で進められていますが、日本再興戦略がきっかけとなっています。2020年には東京五輪があり、海外から観光客が増える中、キャッシュレス化を進めていく必要があります。また一方で、カード情報を狙う攻撃はグローバル化、巧妙化しているにも関わらず、加盟店などにおいてはカード情報管理が不十分な状況です。そういった中、2015年にクレジット取引セキュリティ対策協議会が設立され、官民一体でクレジットカード情報を保護する場を作り、2016年に実行計画が発表されました。これが毎年改訂されており、2018年3月1日に最新版がリリースされました。また、改正割賦販売法も6月に施行されますが、クレジットカード会社に加え、販売業者や包括加盟店もクレジットカード情報保護が義務化されます。改正割賦販売法には3つのポイントがありますが、加盟店に対しクレジットカード番号等を取り扱うことを認める契約を締結する事業者について、登録制度を創設するとともに、加盟店への調査等を義務付けています。加盟店に対してはカード情報の適切な管理や、委託先への指導を求めています。また、加盟店に対し、クレジットカード端末のIC対応化などによる不正使用対策を義務付けています。
さらに、アクワイアラと同等の位置付けにある決済代行事業者なども新しいテクノロジが出てきていますので、アクワイアラと同一の登録を受けられる制度が導入されます。2017年7月には、クレジットカード加盟店契約に関するガイドラインが改正割賦販売法の円滑な施行を目的として公開されました。同ガイドラインでは、カード会社と加盟店が改正割賦販売法の義務を履行し、「実行計画」に示された必要なセキュリティ対策措置を講じるため、加盟店契約を締結・改訂する際に参考とすべきセキュリティ対策措置等に関する一般的なモデル契約条項が提示されました。ここでは、カード番号の適切な管理がされていない場合、アクワイアラは加盟店に対する契約解除なども提示されています。
クレジット取引セキュリティ協議会の「実行計画」は、割賦販売法に規定するセキュリティ対策の実務上の指針と位置付けられており、3つの骨子があります。そのうちの一つ、カード情報の漏えい対策として、加盟店はカード情報の非保持、もしくは保持するためにはPCI DSSに準拠する必要があります。非保持はカード情報の保存、処理、伝送を行わないことというのがPCI DSSの定義になります。これに加え、日本独自の考え方として、紙など非電磁的な情報のみの場合は非保持とされています。
実行計画の関係主体として、メールオーダー・テレフォンオーダー(MO・TO)加盟店、EC加盟店、対面加盟店に分けられます。EC加盟店は非通過型、Javaスクリプト型の決済システムの場合は非保持になります。MO・TO加盟店は議論になりましたが、非保持化の他に非保持化と同等/相当という考え方が示されています。対面加盟店では、外回り、内回りという言葉が出てきますが、内回りであっても、一定の条件を満たせば非保持化同等/相当となります。
※本記事は2018年3月2日に開催された「ペイメントカード・セキュリティフォーラム2018」の日本カード情報セキュリティ協議会の講演をベースに加筆を加え、紹介しています。
