日本オフィス・システム株式会社

サイトマップ

お問い合わせ サイト内検索

ソリューションサービス

HOME  >  ソリューション・サービス   >  「実行計画2019」改訂のポイント

「実行計画2019」改訂のポイント

2016年からスタートした「実行計画」は、毎年春に改訂を重ねてきました。2019年版は2019年3月1日(金)にクレジット取引セキュリティ対策協議会の本会議で承認され、3月4日に公表されました。
本欄では、「実行計画2019」のカード情報保護分野に関する、改訂ポイントや規制の動向を解説します。
 

① 改正割賦販売法との位置づけを明確化

2018年6月に改正割賦販売法が施行されたことによって、「実行計画」はこの法律の実務上の指針となりました。

クレジットカード情報の安全管理に、カード加盟店も直接に責任を持つことが法令上の義務となり、カード情報の非保持化やPCI DSS準拠が求められています。


これまでの実行計画は、「クレジット業界の自主規制でしょ」「どのみち罰則はないし」などと軽視する経営者もいましたが、改正法の施行により、「実行計画が定めているカード情報の非保持化やPCI DSS準拠などの措置を達成している場合は、法令上の基準を満たしていると認められる。」と明記されました。したがって、実行計画に対応していない事業者は、法令に違反していることになります。(実行計画2019の P.5「本実行計画の位置付け」)

  ※以下同様に、(  )内のページ数は、公表されている実行計画2019のページ数を示します。
 

 

② 実行計画未達成の加盟店への”罰則”

実行計画に定める措置を未達成の加盟店に対しては、直接的な法令上の罰則ではありませんが、この点も2019年版で明確になりました。

改正法により、加盟店募集を行うカード会社や主要PSPは、経済産業省へ登録することが義務づけられました。それらの事業者はすでに2018年11月末までに、経産省への登録申請を完了しています。この登録に際しては、加盟店に対して定期的な調査を実施する、細かな社内規程を作成して添付することが求められています。

そして、カード会社は加盟店調査の結果により、実行計画の基準を満たしていない加盟店に対して、是正の指導を行う義務があります。さらに遅々として改善が実現できない加盟店とは、加盟店契約を解除することが定められているのです。

こうした対応未達加盟店にとって、これはクレジットカードの取り扱いができなくなるということですから、まさに明確なペナルティと言えるでしょう。(実行計画2019の P.5「本実行計画の位置付け」)

 

 

③ カード会社や PSPにも”罰則”が

2017年以前の割賦販売法でも、カード情報の安全管理についてカード会社には責任があり、加盟店の指導を行うことが定められていました。そしてその具体的なセキュリティ基準は、日本においてもPCI DSSとされました。ところがカード会社にとって加盟店は、カード取扱い手数料を稼いでくれる“お客様”の関係にあるために、カード会社側がなかなか強い姿勢での指導に出られず、進捗しなかったのが実態です。


その反省を踏まえて、2018年の改正割賦販売法では、加盟店にも直接にカード情報の保護責任があることに、改正されたのです。
また、今回はカード会社や主要PSPの「登録制」により、実行計画の基準未達成の加盟店に対する是正指導が甘いカード会社に対しては、経済産業大臣が改善命令を出し、最終的にはそのカード会社の登録を取り消すこともできることになっています。つまりカード会社にとって、登録を取り消されることは、カード事業を継続できなくなることに直結しますから、これは大きな“罰則”と言えるでしょう。


したがって、経済産業省自身が甘い措置をしない限り、実行計画は2020年3月末の最終目標期限に向けて、着実に実施されていくレールが確実に敷かれたと考えるべきです。その意味で、2016年から策定してきた「実行計画」は、2018年6月の改正割賦販売法の施行、事業者登録制の開始と連動して、まさにラストスパートの1年に突入したことになります。

 

 

④ 非保持化達成後のセキュリティの重要性を強調

実行計画では2018年版以前でも、「加盟店は非保持化を実現した場合であっても、継続的な情報保護に関する従業員教育やウィルス対策、デバイス管理等について必要なセキュリティ対策が求められる。」と定めていました。

 

ところが、ともすると「非保持化すればPCI DSSをやらなくてもよい」というフレーズだけが強く印象に残り、非保持化以外のセキュリティ対策がおろそかになっている加盟店が多くみられる傾向があります。特にEC通販では、リンク型など非通過型のPSP決済を導入すれば、それで実行計画への対応は完了で、あとは今までどおりでOKと考えてしまっている加盟店が多く見られます。

 

 ● 非通過型の PSP決済を利用しても漏えい発生

2018年は、そうしたEC加盟店からのカード情報漏えい事故が相次いで発生しました。リンク型の決済を提供するPSPはPCI DSS準拠を達成しているのですが、犯罪者は通販加盟店側のぜい弱なサイトを改ざんして、ニセの決済画面へのリンクを埋め込むのです。商品を購入する消費者は、ニセのPSP画面へ誘導されたとは気づかずに、自分のカード情報を入力してしまい、それがやすやすと犯罪者へ送信されていたのです。


また、実行計画では「Java Script 型」のPSP決済システムも非通過型と認められていますが、同様に犯罪者は加盟店側のサイトから侵入して、加盟店側のシステムにカード情報が残ってしまう仕組みに改ざんする手口が出現しています。そのためそこからカード情報が漏えいするのです。


実行計画2019を審議する場で、フォレンジック(解析調査)会社の委員からの報告によれば、2018年に漏えい事故を起こしてフォレンジック調査を依頼された事業者のうち、約半数は「非通過型の決済PSPを導入済み」だったとのことです。「非保持化したからPCI DSSをやらなくてOK」に安住してしまった落とし穴が、明らかになっています。

 

 ● 脆弱なWEBサイトの EC加盟店がターゲット

日本も実行計画の普及効果で、この数年でセキュリティは確かに向上してきており、カード会社やPSPはほぼ全社がPCI DSS準拠を達成しています。そして加盟店から業務委託を受けているサービスプロバイダー各社のセキュリティも進んできましたから、いま犯罪者たちのトレンドは、「非保持化したからOKと安心して、サイトのぜい弱性を改善しようとしない、通販加盟店が狙い目だ」との考えだと思われます。


こうした観点から、今回の実行計画2019年版では、非保持化を実現してもその他のセキュリティ対策が重要であると強調しています。(P.11・P.13)


具体的にはまずマルウェア対策ですが、犯罪者たちは毎日新種のマルウェアを開発しています。ウィルス対策ソフト会社は、新種のウィルスを発見したら、数時間後には防御プログラムを作成して更新配布していますが、犯罪者たちはその数時間のタイムラグの間に事業者のサイトを感染させて、侵入・改ざんしています。したがって、マルウェア対策ソフトだけでは、対策として不充分なのです。


侵入検知(IDS)や侵入防御(IPS)システム、WEBサイトを守るWAF(Webアプリケーション・ファイアウォール)、そして万一改ざんされた場合に迅速に検知するファイル整合性監視ソリューションなどが、現在有効と考えられる方策です。それなりに費用もかかりますから、費用対効果面で自社のシステムにできるだけ適したソリューションを選ぶことが肝要です。
 

 

⑤ PCI DSS と実行計画の関係性についての理解促進

海外からは、日本は「実行計画」というローカルルールを作り、PCI DSSをやらなくて済むようにしている、と思われているようです。そこがまた犯罪者たちがターゲットにする原因でもあります。


しかし実行計画もPCI DSSも目指すゴールは共通であり、実行計画が掲げるカード情報非保持化とは、PCI DSSの第一ステップである「不必要な情報は持たないようにする」という考え方と一致しているのです。

その観点で、実行計画2019では「本実行計画とPCI DSSの関係についての理解促進」を見出しのひとつに掲げて、「非保持化に加え、事業者の判断でPCI DSS準拠することを否定するものではない。」と書いています。

ややマイナーで慎重な表現を使っていますが、「関係事業者においては、こうした本実行計画とPCI DSSの関係性についても理解の上、カード情報保護の対策を推進する。」(P.23)と結んでいます。実行計画2019が、非保持化達成後のセキュリティ対策は非常に重要、と今回強調したことは、実行計画の延長線上にPCI DSSがあり、ゴールは同じ、との意味にもなっているのです。
 

 

⑥ EC加盟店などによる消費者への周知活動

改正割賦販売法の附帯決議を踏まえ、加盟店のセキュリティ対策について、カードを利用する一般消費者への周知活動を推進することが掲げられました(P.22 行政・業界団体等の役割)。


具体的な方策として、まずEC加盟店の場合、実行計画が非保持化の手法として認定している、リンク型かJava Scriptによる非通過型の決済方式を採用していること、またはPCI DSSに準拠できていることを、消費者に分かりやすいように自社の通販サイトに表示することです。

また、万一他人になりすましでカードを利用されていないか、カード会社から届く利用明細を必ず毎月すぐに確認することを、通販画面にも表示することなどがあげられます。


いっぽう対面加盟店の場合は、レジや決済端末機がICカードに対応済みであることを、共通マークのステッカーで店舗に表示することです。


まだICカード対応や非保持化が加盟店業界で進んでいない時期は、自社だけ「抜けがけ」することをためらうムードもありましたが、最終期限まで1年を迎え、加盟店全体の対応が進んできている2019年は、こうした表示を大いに進めて、消費者への啓もうに力を入れる段階に入っていくことが望まれます。


さらに、対応を済ませた加盟店が積極的に表示することによって、未対応の加盟店は消費者から「おたくはまだやっていないの?」と言われることになり、対応を加速させることにつながることでしょう。
 

 

⑦ 2020年移行は、付属ガイドの順次廃止も念頭に

           ※この項目は今回の実行計画2019に書かれているのでなく、付録としてお読みください。


3月1日に行われた「実行計画2019」の承認の会議では、2020年3月以降の実行計画についての意見交換が行われ、あるワーキングの座長からこんな発言がありました。「実行計画は、まずは2020年に当初目標を達成させる必要から、加盟店業界からの要望に応えるガイドラインを、いろいろ追加してきました。次のステップでは、順次廃止することも検討すべきと思います」というものです。
実行計画では2016年版以降、確かに例外を認める付属の但し書きが追加されてきました。たとえば、カード情報が書かれた申込みはがきや伝票などを、紙の状態で保存するなら非保持と認めるとしていたのに、スキャンした画像のPDFデータでの保存も非保持の範囲に認めることに変化しました。しかし企業の多くで使われている複合機のスキャナーには、OCR機能を標準装備しているものが多く、スキャン画像のPDFでも、文字がテキストデータとして読み込めてしまう状態になっているのです。
こうしたスキャンPDFのファイルをもし犯罪者が盗んだら、カード情報はやすやすと読み取られて、データベース化されて悪用される危険があります。
コールセンターの音声録音も、今の時代はテープ録音でなく当たり前にwavやmp3のデータで保存されます。電話の音声録音からカード番号などを聴き取って書き出すのは、かなり時間がかかって効率が悪い作業だろうということで、現在は非保持化の範囲に認めていますが、もし犯罪者が録音データを盗んで、AI知能に聴き取りをさせれば、寝ている間にカード情報のデータベースができてしまうでしょう。


実行計画2019でもP.6「セキュリティ対策の検証と改善」で提起しているように、新たな犯罪手口は日進月歩で出現します。カード情報に携わる関係者は常に技術の進化に関心を持って、新たな対策を講じていく必要があると提言しています。


2020年3月という当初の実行計画の目標達成期限まで1年となりました。その後は今の非保持化要件のままでは、犯罪者への対策として間に合わない状況になっていくと思われます。実行計画2020として改訂を重ねるのか、ここからはPCI DSSを目指すのか、注目されます。

いずれにしてもカード情報に携わる関係者は、常に「検証と改善」を重ねる姿勢が大切でしょう。

 

                               文責 / ソリューション事業部 森 大吾 (JCDSC事務局) 


 ●この記事へのご質問や、カード情報保護対策のご相談は、このサイトの「お問合せ」からどうぞ
 ・非保持化やPCI DSSへの対応
 ・PCI DSSが認定しているASVスキャン
 弊社は、米国ControlCase社によるASVスキャンや各種脆弱性検査を日本国内で提供しています。