2012年11月7日8:16
日本クレジット協会(JCA)は、2012年5月、「日本におけるクレジットカード情報管理強化に向けた実行計画」を発表した。JCAのインフラ整備部会が経済産業省と連携し、同実行計画を策定した。
自社でクレジットカードを保持している企業で、対象は「クレジットカード会社」、「加盟店」、「決済代行事業者」となる。加盟店については、①非対面/ネット取引、②対面/POS取引、③対面/スタンドアロン、クレジットカード会社については、①アクワイアラ、②プロセッシング、③イシュイングのそれぞれ3形態に分類されている。
今回の実行計画により、まず決済代行事業者の場合、形態を問わずすべての事業者が2013年3月までのPCI DSS準拠が必要だ。また、レベルAで非対面のネット加盟店は、センシティブ認証情報非保持が2012年9月まで、PCI DSS準拠が2013年3月までとなる。さらに、レベルAの対面/POS加盟店の場合、センシティブ認証情報非保持が2013年3月まで、PCI DSS準拠が2018年3月までに設定されている。
また、レベルBで非対面のネット加盟店の場合、センシティブ認証情報非保持が2012年9月まで、PCI DSS準拠もしくはクレジットカード情報非保持への対応が2013年3月までに設定された。また、レベルBの対面/POS加盟店は、センシティブ認証情報非保持が2013年3月まで、PCI DSS準拠が2018年3月までとなる。レベルCの対面/POS加盟店についても、2018年3月までにPCI DSS準拠またはクレジットカード情報非保持に対応しなければならない。一方、対面/スタンドアロンの加盟店については、2013年3月までにクレジットカード情報非保持への対応が必要となる。
クレジットカード会社については、レベルAのアクワイアラとプロセッサ、レベルBのイシュアは、2018年3月までにPCI DSSへの準拠が必要となる。また、レベルCのイシュアは、他社クレジットカード情報非保持が求められる。
このように、JCAでは、ペイメントカード情報を保護する ためのセキュリティ基準を、PCIDSSもしくは非保持に設定した。今回の実行計画は義務ではないが、情報セキュリティ強化のために、加盟店やサービスプロバイダは定められた期限までに対応を行うべきだろう。
ペイメントカード・セキュリティフォーラムでは、加盟店やサービスプロバイダのペイメントカード情報のセキュリティ強化のために押さえておきたいポイントを解説した講演が数多く行われる予定だ。
■安心・便利なクレジットカード決済に向けて「ペイメントカード・セキュリティフォーラム」
https://paymentnavi.com/paymentnews/26190.html
