2018年7月9日8:00
通販会社目線の実行計画の理解と対応方法をアドバイス
オルビス CRM・顧客満足推進部 課長 橋本祥永氏は、JADMA(公益社団法人日本通信販売協会)クレジット部会 部会長、およびクレジット取引セキュリティ対策協議会WG 1と3 のメンバーとして、通販会社特有の課題について、カード業界関係者と議論を行ってきた中心人物だ。同氏が中心となり、同協議会の電話、はがき、FAX といったMO・TO(メールオーダー・テレフォンオーダー)加盟店における非保持化又は同等/ 相当の具体的方策についてとりまとめるなど、重要な役割を果たしている。
実行計画は当初、対面とEC 加盟店を中心に考案
MO・TO 加盟店の非保持化、同等/ 相当の基準を策定
クレジット取引セキュリティ対策協議会が制定した「クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画2017」において、通販事業者は2018 年3 月までにPCI DSS もしくは非保持化の対策が求められた。実行計画では、対面やEC 加盟店の非保持化の定義はあったものの、電話やFAX、はがきなどのMO・TO に関してはほとんど記述がなく、不明瞭な点も多かったため、当時、通販業界が混乱したという。橋本氏は、老舗通販会社のオルビスに所属しており、バックヤードのシステムや業務運用について精通したスペシャリストだ。同氏は、JADMA クレジット部会 部会長として、実行計画のWG1 と3 にそれぞれ参加している。
例えば、EC 加盟店に関しては、2018 年3 月までにPCI DSS 準拠もしくは非保持化の対応が求められ、非保持化の場合、リンク型もしくはJava Script 型を利用した非通過型決済を導入することで非保持と見なされる。一方、電話、ハガキ、FAX などでカード決済を処理する通販加盟店は「Web ベースの仮想端末を使用する加盟店(カード会員データを電子形式で保存しない)」で「SAQC-VT」(85 項目)とみなされがちだが、実際には、「SAQ D」(331項目)が必要となる。
「実行計画2017 にはMO・TO の非保持化策が明記されておらず、MO・TO はSAQ D 取得以外に選択肢がありませんでした。ただ、MO・TO で非保持化が実現できないとEC で非通過型決済を導入していても非保持化が取り消され、SAQ A(リンク型の加盟店、カード情報処理を外部委託する加盟店)またはA-EP(JavaScript 型の決済サービスを使用する EC 加盟店)の認定が必須となり、ほとんどの通販会社において全く非保持化が実現できなくなるという大きな問題が発生していました」(橋本氏)
また、MO・TO では、通販会社に加え、アウトソーサーも絡む場合が多いが、実行計画自身、対面とEC 加盟店をベースに当初は考えられてきたため、関係者に聞いても定義が曖昧な状態だった。
そのため、JADMA の代表である橋本氏が中心となり、実行計画においてもMO・TO における非保持化の定義や範囲を明確にするように働きかけたという。
当初は、MO・TO の特殊性やシステム構成などを理解してもらうのに苦労もあったというが、WG 1 での議論、日本クレジット協会、経済産業者などの理解を得て、「メールオーダー・テレフォンオーダー加盟店における非保持化対応ソリューションについて」が2017 年11 月27 日に発表となった。また、2018 年3 月の「実行計画2018」では、「加盟店における非保持化又は同等/ 相当の具体的方策」も公表となった。
通販会社は100社あれば100通りの仕組みがある/技術的要件、運用要件などを踏まえた上でアドバイス
JADMA 会員に対し対応ソリューションを紹介/カード会社がよりセキュアなシステムを提供することに期待
(書籍「カード決済セキュリティ PCI DSSガイドブック」よりオルビスの記事の一部を紹介)
