急増中！カード情報“非保持化の誤解”に注意

　クレジット取引セキュリティ対策協議会が取りまとめた『クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画-2018-（以降、実行計画2018）』で求められている、クレジットカード情報保護対策のひとつの方法として、カード情報の“非保持化”があります。私どもにお問い合わせをいただく企業様からも、「クレジットカード対応 は“外回り方式”で行うので、PCI DSS準拠は必要ないですよね？」とのお話は多いのですが、実際に“非保持化”を完全に実現できるケースは少ないのが実情です。今回はカード情報“非保持化の誤解”についてご紹介します。

カード決済時だけの対策で充分なのか？

　実行計画2018によれば、非保持化とは、「カード情報を保存する場合、それらの情報は紙のレポートやクレジット取引にかかる紙伝票、紙媒体をスキャンした画像データ等のみであり、電磁的に送受信しないこと、すなわち自社で保有する機器・ネットワークにおいて『カード情報』を『保存』、『処理』、『通過』しないこと」と定義されています。
　自社が展開する実店舗でクレジットカード利用を可能にしている企業様は、実行計画2018の定義では「対面加盟店」に求められるセキュリティ対策を実施する必要があります。多くの場合、外部事業者から提供される決済専用端末（CCTもしくはCCT相当のセキュリティ準拠）を店舗に設置し、専用のネットワークからカード決済ネットワークに接続させる「外回り方式」を採用もしくは検討されるケースをよくお聞きします。店舗システムのPOS端末と決済専用端末とは、売上金額と決済結果のみのデータ連携とすることで、「自社で保有する機器・ネットワークで『カード情報』を『保存』、『処理』、『通過』しない」という“非保持化”の要件は満たしていると考えられるからです。

　しかし、ここでもう一歩踏み込んで考える必要があります。カードホルダーがクレジットカードを利用する場面のカードセキュリティ対策だけで、自社のクレジットカード情報保護対策が完了しているのか、ということです。顧客管理や売上管理などの自社業務システムにおいてカード番号を利用している場合は、外回り方式の導入だけでは自社の対策が完了とはなりません。
　この問題は、暗号化対策を実装した専用端末を使い、暗号化されたクレジットカードデータを自社ネットワークからクレジット決済プロバイダーを経由してカード決済ネットワークに接続させる「内回り方式（非保持と同等／相当）」においても同様です。
　例えば、提携クレジットカードを発行し、ポイント会員サービスの会員カード機能を持っているような場合です。POSシステムと連携したCRMシステムで会員情報・ポイント情報を管理している場合、会員識別用の番号（ポイント会員番号など）にカード番号を活用しているようなことはないでしょうか。また、CRMに積極的な企業様では、販促プロモーションの対象顧客の抽出キーとしてカード番号を顧客データベースで管理していませんか。

　“非保持化”の定義における「自社で保有する機器・ネットワーク」は、カード決済系システムだけを指すものではなく、その企業が保有する全ての機器・ネットワークを含むものです。したがって、“非保持化”の実現のためには、社内の全ての機器・ネットワークにおいてカード情報を保存、処理、通過しない状態を構築することが不可欠となります。従来、カード番号を多方面で活用してきた企業様ほど、完全な“非保持化”実現への道は困難なものになってしまうのです。

このページを共有