日本オフィス・システム株式会社

サイトマップ

お問い合わせ サイト内検索

ソリューションサービス

HOME  >  ソリューション・サービス   >  非保持化とPCI DSSの Q&A

非保持化とPCI DSSの Q&A

改正割賦販売法のガイドラインに位置づけられる「実行計画」は、question.jpg

2016年2月の公表以来、毎年改定されてきました。

PCI DSSは国際規格として要件が詳細に確立されていますが、「非保持化」については、加盟店等クレジット業界の要望を取り入れながら、厳格な非保持とは言えないものの「非保持化と同等・相当」の幅を持たせた、日本のローカルルールです。
改定を重ねてきたため、非保持化と認められるかどうかの解釈が複数出回っており、戸惑う事業者も多く見られます。弊社は日本カード情報セキュリティ協議会(JCDSC)の事務局を務めていることもあり、これまでお客様からPCI DSSや非保持化についてのご質問を多くいただき、アドバイスをしてまいりました。


ここではその中から、皆さまの参考になると思われるものを、FAQ(Frequently Asked Questions)の形でご紹介いたします。数は多くありませんが、随時書き加えてまいります。
また、具体的にご相談がありましたら、トップページの「お問い合わせ」からご連絡いただければ幸いです。
 

次の分類で整理しています。文書番号は分類にかかわらず連番にします。

 

 A) 非保持化

  1.対面加盟店

    A-1-01 店員がお客様からカードを受け取って決済しても非保持と言えるか
    A-1-02 端末で読み取りエラーになるカードを店員がキー入力してもよいか
    A-1-06 ポイント機能付きのカードでクレジットカード情報も読み込んでしまう
    A-1-16 対面加盟店の対応期限は2020年で割販法との整合性はとれるのか

 

  2.通販加盟店

    A-2-07 電話自動応答(IVR)は非保持化方式に認められているか
    A-2-08 コールセンターがカード番号を聴き取ってIVRへ代理入力しても非保持か
    A-2-11 スキャン画像PDFを委託元へメールで添付送信してよいか
    A-2-12 スキャン画像PDFをクラウド事業者のサーバーに保存しても非保持でよいか
    A-2-15 PSPのリンク型画面へ通販会社の社内スタッフが入力してよいか
    A-2-20 紙の伝票ならセキュリティコードでも保存してよいか


  3.加盟店共通

    A-3-03 非保持化の認定制度はあるか
    A-3-05 お客様からカード番号を聴き取っても非保持の範囲に入るか
    A-3-19 罰則がないから実行計画に対応しなくても平気か
 

  4.サービスプロバイダー

    A-4-09 サービスプロバイダーに非保持化の方策は認められないのか
    A-4-17 サービスプロバイダーはPCI DSS「等」への対応だがISMS取得済でよいか

  5.カード会社とPSP

    A-5-10 カード会社の委託先はPCI DSS準拠必須か

 

  6.その他

 

 

B) PCI DSS


  1.QSA

    B-1-13 契約先のデータセンターがQSA審査を受け入れてくれない

 


  2.SAQ


  3.全般

    B-3-04 多要素認証を必ずしも導入しなくてもよいケースはあるか

    B-3-14 PSPのPCI DSS準拠がQSA審査必須は不公平ではないのか

 

 

 

 Q & A


 A-1-01 店員がお客様からカードを受け取って決済しても非保持と言えるか

 

Q:店舗で、店員がお客様のカードを受け取って、決済端末で決済してお返しするという一連の動作は、カードを取り扱っていることになり、店員はそのカードを見ることになります。実行計画が言っている「非保持」でよいのでしょうか?

 

A:非保持の範囲と認められます。ただし、決済端末がお客様から見えないバックヤードにあって、そこへ店員がカードを持ち去ってしまうのは、好ましくありません。2020年に向けて改善する必要があります。カードはお客様が見える範囲で取り扱うべきなのです。
また、店員がカードをコピーしたり撮影したりして、お客様のカード情報を知ってしまうことは犯罪であることを、常に教育することも必要です。とくにアルバイトやパートの方々への研修がおろそかになりがちですから、ご注意ください。

 

  rtn-to index.jpg


 A-1-02 端末で読み取りエラーになるカードを店員がキー入力してもよいか

 

Q:店舗で、お客様のカードをCCT端末が読み取れないトラブルが起こった場合、臨時の方法としてPINPADなどでカード番号を店員がキー入力することがあります。こういうことをしてしては、非保持と言えなくなってしまうのでしょうか。

 

A:あくまでトラブル対応として臨時の処理にとどまるのなら、非保持の範囲です。実行計画でもお客様から商品の返品や交換などのクレーム対応として、PCI DSS準拠済みのPSPが提供する画面で、カード番号を照会することは、数は多くない臨時の対応として非保持の範囲に認められています。

 

  rtn-to index.jpg


 A-1-06 ポイント機能付きのカードでクレジットカード情報も読み込んでしまう

 

Q:ポイントカード機能付きのクレジットカードが増えてきています。それが磁気カードだと、POSレジはポイントカードの読取りが目的なのに、クレジットカードの情報も同時に読み込んでしまいます。
この場合、PCI DSS対応またはP2PE対応のシステム構成を導入するか、ポイント処理も外付端末で読み取るなど、新たなシステム開発を行う必要があるでしょうか?

 

A:カード情報をシステム的に読み込んでしまうことは、それが決済目的である・ないに関わらず、実行計画のうえでもカード情報保持になり、PCI DSS準拠が求められます。ただしその店舗がクレジットカード加盟店でない場合は、改正割賦販売法や実行計画の対象外です。

 

  rtn-to index.jpg


 A-1-16 対面加盟店の対応期限は2020年で割販法との整合性はとれるのか

 

Q:対面加盟店の非保持化期限は、実行計画では2020年3月とされていますが、改正割賦販売法はすでに今年の6月から施行されています。「法令違反状態」と言われないか、心配です。

 

A:改正割賦販売法が2018年6月1日から施行されたので、対面加盟店においても、その時までの対応が基本であって、最終的には、全加盟店が2020年3月末までに非保持化またはPCI DSS準拠の完了をめざす、と実行計画2018には書かれています。
これは、最初の実行計画2016版を決定した時点では、まだ改正割賦販売法が国会で承認されておらず、実行計画が先行したので、「対面加盟店の達成期限は2020年3月」になったものです。しかしその後、改正法が成立したので、実行計画では「対面加盟店も本来は2018年5月末までの達成が基本であって、最終的には全加盟店が2020年3月末までに達成していることを目標とする」といった表現に変化しました。
カード情報の安全は少しでも早く確立させることが大切であり、「2020年までにやればいいのだ」と安穏と構えていてはいけないということです。


  rtn-to index.jpg


 A-2-07 電話自動応答(IVR)は非保持化方式に認められているか

 

Q:MOTOの通販加盟店です。非保持化のために電話自動応答システム(IVR)を導入したいのですが、実行計画2018にはIVRの用語が出ていないので、非保持化に求められるか心配です。

 

A:実行計画を策定する分科会のワーキング-1で、この件は了承されており、非保持化対策に認められています。実行計画2018承認本会議の直前に追加されたので、文書化まではされなかったようです。ただし運用としてハードホンを用いることが条件になっています。導入するうえで非保持化認定の確信がほしい場合は、(一社)日本クレジット協会に確認するとよいと思います。

 

  rtn-to index.jpg


 A-2-08 コールセンターがカード番号を聴き取ってIVRへ代理入力しても非保持か

 

Q:非保持化のためにIVRを導入したMOTO通販加盟店ですが、年配のお客様の場合、いろいろ不都合があります。
・アナログ電話をプッシュトーンに切り替えるアスタリスクボタンが分からない。
・スマートホンを持ってはいても、数字キーを表示してキー操作をする方法が分からない。
その対応として、コールセンターのスタッフが電話でカード番号を聴き取って、代理でIVRに入力する方法は、非保持の範囲に認められるでしょうか。

 

A:実行計画2018にはIVRの記述がありませんが、説明では非保持と認められています。コールセンターのスタッフがカード番号を聴き取って紙にメモする程度で、自社のPCに入力するのでなく、IVRへ代理で入力することは、かなりきわどい解釈ではありますが、非保持の範囲に入ると思います。こういう方策は実行計画のガイドラインにも明記していただきたいものです。

 

  rtn-to index.jpg


 A-2-11 スキャン画像PDFを委託元へメールで添付送信してよいか

 

Q:通販加盟店が、カード番号が記入された紙の申込書を、スキャンで画像PDFファイルにして自社で保存するなら非保持に認められますが、その画像PDFを、メール添付で委託元などへ送信してもよいですか。 もちろん送信時にはパスワード保護を行います。

 

A:「実行計画2018」ではP.11欄外に、次の記述があります。
本実行計画において、①紙(クレジット取引伝票、カード番号を記した FAX、申込書、メモ等)、②紙媒体をスキャンした画像データ、③電話での通話(通話データ含む)においてカード情報を保存する場合には、「保持」とはならない。と書かれています。つまりスキャン画像のPDFデータを自社で保存している限りは、カード情報非保持と言えますが、外部へ送信するのであれば、たとえパスワードや暗号化を施しても、この非保持要件から逸脱します。したがってPCI DSS準拠が求められることになります。
この非保持要件については、「スキャンしたPDFは非保持である」というフレーズだけが独り歩きしている風潮があり、注意が必要です。

 

  rtn-to index.jpg


 A-2-12 スキャン画像PDFをクラウド事業者のサーバーに保存しても非保持でよいか

 

Q:カード情報の入った紙の申込書をスキャンで画像PDFにして、自社で保存していますが、実際に保存しているのは、契約しているクラウドベンダーのストレージです。つまり「自社で保存」している認識ではありますが、そのためには社外へ「伝送」していることになります。これでも非保持と認められるのでしょうか。

 

A:日本クレジット協会作成のFAQ-13番に同様のQAがあります。
・社内サーバーにカード番号等を画像データやPDFデータ(電子帳票)として保存しているケースがあるが、このようなデータにもPCI DSS対応が必要なのか。
答え:【実行計画 P,11 脚注6】 実行計画における非保持化とは、以下(※)を除き、カード情報を電磁的に送受信しないこと、すなわち「自社で保有する機器・ネットワークにおいて「カード情報」を『保存』、『処理』、『通過』しないことと定義されております。
※①紙(クレジット取引伝票、カード番号を記したFAX、申込書、メモ等)、②紙媒体をスキャンした画像データ、③電話での通話(通話データを含む)においてカード情報を保存する場合。
そのため、非保持の対応をしている加盟店において、紙媒体をスキャンした画像データでカード情報が含まれている場合においても、当該加盟店は非保持となります。
ただし、情報保護の観点から、PCI DSSや個人情報保護法等を参考に自社の情報管理基準で保護を図ってください。以上

つまり、複合機などのスキャナーからPDFデータが担当者へのPCを経由して、そして社内サーバーへ保存されるためには、社内のネットワーク回線で「伝送」しているのですが、これは非保持の範囲で認めます、と言っています。
どこの加盟店企業でも、紙をスキャンするスキャナーが、社内ネットワークと関係のないスタンドアローン機器になっていることは、まずないでしょう。スキャナーはたいがい複合機になっています。担当者がスキャンをすると、そのPDFデータは社内ネットワークを通じて担当者のPCに入ります。それを「データ伝送」したから非保持に認めません、などと言ってしまうと、そもそも「紙のPDFスキャンを社内で保存する限りは非保持でOK」と決めること自体、矛盾になってしまいます。
さらに外部のクラウドストレージを利用している場合は、かなりの拡大解釈になりますが「社内サーバー」には違いないという考え方で、非保持に認められるのでしょう。
ただしここまでくると、加盟店側の要望に対して、かなり歩み寄った考え方です。PCI DSSに基づいて、社内ネットワークからクラウドまでの送信経路や、暗号化の仕組み、マルウェアの侵入を検知・防止する方策など、充分にセキュリティ対策を並行する必要があります。単に「スキャンPDFは非保持でいいのだ」だけで運用されると、スキャンPDFからカード情報漏えいの事故が増えてくるものと懸念しています。

 

  rtn-to index.jpg


 A-2-15 PSPのリンク型画面へ通販会社の社内スタッフが入力してよいか

 

Q:ネット通販の弊社は、PCI DSS準拠済みのPSPのリンク型画面を採用して、非保持化を達成しました。はがきやFAXで申込みのあったお客様のカード情報を、社内スタッフがそのリンク型PSP画面で入力送信しても、引続き非保持と言ってよいですか。

A:カード情報が自社の機器を「通過」することになりますから、非保持と言えません。PSPのカード情報非通過型の決済システムを採用した場合、商品を購入するお客様が自宅で自分のPCからカード情報を送信するからこそ、通販会社はお客様のカード情報を知ることができず、「非保持」でいられるのです。

 

  rtn-to index.jpg


 A-2-20 紙の伝票ならセキュリティコードでも保存してよいか
 

Q:通販会社で、コールセンターがお客様から聞き取ったカード情報を、PCI-P2PE認定の端末機から決済送信することで、非保持化を達成しています。紙の伝票は控えとして紙の状態で保存するので、非保持化の範囲と思っていますが、実はセキュリティコードも紙の伝票に書かれています。非保持と認めてもらえるでしょうか。


A:PCI DSSの要件では、セキュリティコードやPIN(暗証番号)、PINブロック(PINの暗号化コード)はセンシティブ情報として、加盟店は保存してはいけないことになっています。実行計画にはこうしたセンシティブ情報の紙保存について記載がありませんが、実行計画に基づいた日本クレジット協会のFAQでは、保存不可としています。したがって、紙の伝票のままであっても、センシティブ情報の保存は認められません。PCI DSS準拠をめざす場合でも、保存していてはPCI DSSに準拠することはできません。


  rtn-to index.jpg


 A-3-03 非保持化の認定制度はあるか

 

Q:加盟店が非保持化対応済みであることをISMSのように認定する仕組みはありますか。

 

A:非保持化達成を認定する仕組みや機関は、現在のところありません。実行計画では、加盟店の非保持化についてはカード会社(アクワイアラー)が確認する、とされていますので、実行計画に書かれている非保持化の要件を満たしているかどうか、カード会社やPSPは加盟店に調査を行うことになります。とはいえ、その回答をもってカード会社が非保持化達成を認定する、という制度ではありません。漏えい事故が発生すれば、責任はあくまで加盟店にあります。
PCI DSS準拠の場合は、QSAが審査して合格なら認定証が発行されますので、わが国のローカルルールとして、非保持化の認定は今後の課題でしょう。

 

  rtn-to index.jpg


 A-3-05 お客様からカード番号を聴き取っても非保持の範囲に入るか

 

Q:加盟店として売上データの修正等が発生した場合、お客様からカード番号をお聴きすることがあります。この行為は非保持の範囲に認められますか?

 

A:カード番号をお尋ねして店員が紙にメモして保管しても、実行計画では非保持の範囲に認められています。そしてそのカード情報を、PCI DSS準拠済みのPSPが提供する画面で、PSPと確認するのはOKですが、自社システムに入力する作業をするのであれば、非保持の範囲を超えることになります。実行計画が認めているP2PE採用のPOSシステム構成を用いているのか、さらに自社サーバーの売上データ修正に、そのカード情報がどのように流れるのか、詳しい検討が必要になります。

 

  rtn-to index.jpg


 A-3-19 罰則がないから実行計画に対応しなくても平気か

 

Q:実行計画に添って非保持化かPCI DSS準拠が必要なので、社内で改善の提案をしているのですが、罰則がないものにカネをかける必要を感じない、と社長から言われてしまい、進展しません。ペナルティは本当にないのでしょうか。

A:実行計画には、確かに罰則規定がありませんが、すでに2018年6月から施行された改正割賦販売法では、カード情報の安全管理が加盟店の義務となっています。したがって実行計画に掲げるセキュリティ対策措置を講じなければ、法令違反となります。
経営者としては、「法令違反とはいえ、罰則がないから平気」との考えだろうと思いますが、クレジットカードを取り扱う加盟店としては、契約先のカード会社やPSPから、加盟店調査を通じて必要なセキュリティ対策が求められることになります。
その指導に従わない場合、カード会社は加盟店契約を解除することを、経産省へ約束して事業者登録を行うことになっています。したがってクレジットカードの取り扱いができなくなることが、法令上の罰則ではありませんが、社会的なペナルティと言えるでしょう。
 

  rtn-to index.jpg


 A-4-09 サービスプロバイダーに非保持化の方策は認められないのか

 

Q:実行計画では、非保持化は加盟店を対象にしている書き方になっています。
加盟店から委託を受けてカード情報を取り扱っているサービスプロバイダーは、すべてPCI DSS準拠しかないのでしょうか。
実行計画2018のP.19「4.カード情報を取り扱う事業者の PCI DSS 準拠の推進について」で、カード会社及び PSP については、業務上大量のカード情報を管理・利用しており、クレジットカード取引に係るインフラの一端を担う重要な役割に鑑み、PCIDSS 準拠は当然の責務である。(略)、なお、カード会社・PSP以外のカード情報を取り扱っている事業者も同様である。 と書かれていますから、サービスプロバイダーもPCI DSS必須のように読めます。
いっぽうP.20「6.各主体の役割について」では、
各主体がカード情報を取り扱う業務を外部委託する場合は、委託者自身が委託先のセキュリティ状況を確認し、責任を持って PCI DSS 準拠等の必要な対策を求めていくこととする。
また、複数の委託者からカード情報を取り扱う業務を受託する又はショッピングカート機能等のシステムを提供する事業者は、自社システムにおけるカード情報の保持状況について確認の上、PCI DSS 準拠等の必要な対策を行うことが求められる。 となっていて、PCI DSS「等」ですからPCI DSS以外の対策も認められると読めます。
 ①サービスプロバイダーはPCI DSS必須ですか、または「等」の対策でもよいのでしょうか。
 ②「等」ですからISMSやPマークの認証でもよいと考えてよいでしょうか。それでよいかどうかを認めるのは誰ですか。

 

A:P.19でいうサービスプロバイダーとは、「カード会社やPSPのようにカード取引に係るインフラの一端を担う重要な役割の事業者」のことです。同じ段落の中だからです。したがってP20のサービスプロバイダーと整合性はあります。
サービスプロバイダーにはさまざまな形態があるので、一律にガイドラインに定めにくい事情を理解する必要があります。そのため実行計画でも3種類に整理したのでしょう。しかしPCI DSS必須のサービスプロバイダーか、「等」で認められるサービスプロバイダーであるかを審査する制度はありません。実行計画の趣旨に則り、適切に判断していくことが求められます。
また、「等」の対策レベルについては、PCI DSSを第一の例示として掲げているのですから、PCI DSSと同等・相当とされるレベルでなければ、認められないと理解すべきです。具体的には、実行計画2018において、加盟店の非保持化対策として認められているものと解釈するのが妥当と思います。

 

  rtn-to index.jpg


 A-4-17 サービスプロバイダーはPCI DSS「等」への対応だが ISMS取得済でよいか

 

Q:当社は、いくつかの加盟店企業から委託を受けて、カード情報を含む処理を行っています。実行計画によればPCI DSS「等」のセキュリティ対策を講じる必要がありますが、当社は ISMSとプライバシーマークの認証を取得済みです。これで対応は完了していると考えてよいでしょうか。

A:PCI DSS「等」だから、セキュリティならなんでもよいわけではありません。少なくともPCI DSSを例示しているのですから、それと同等・相当の対応でなければなりません。したがって実行計画が掲げている、非保持化対応策でなければ、「等」のレベルとは認められないでしょう。
ISMSも情報セキュリティのISO認証資格ではありますが、具体的なセキュリティ対策を指定しているわけではなく、事業者の状況に応じて事業者が規程を決めて、その規程にしたがって確実に運用されていれば認定されるという仕組みです。したがってISMSでは実行計画の認める対応にはなりません。

 

  rtn-to index.jpg


 A-5-10 カード会社の委託先はPCI DSS準拠必須か
 

Q:カード会社が、紙媒体に記載されたカード番号の入力業務を外部へ委託している場合、この業務委託先もPCI DSS準拠していないと、カード会社はPCI DSSに準拠したことにならないでしょうか。

 

A:カード会社は非保持ではなく、PCI DSSに準拠する必要がありますので、委託先についても、PCI DSSの要件に対応いただく必要があります。ただし、必ずしも委託先がPCI DSSのすべての要件に対応しなければいけないわけではありません。
PCI DSS準拠の必要があるのはカード会社自身ですから、委託先に担当いただく業務の範囲で、関係するPCI DSS要件に対応できていれば、カード会社としてはその部分の監査やエビデンスに基づいて、PCI DSS準拠を達成することが可能です。

 

  rtn-to index.jpg


 B-1-13 契約先のデータセンターが QSA審査を受け入れてくれない

 

Q::PCI DSS準拠に取り組んでいるのですが、カード情報の保存サーバーが、契約している外部のデータセンターであったり、クラウド事業者を利用したりしている場合、それらの事業者はQSAの審査を受け入れてくれません。当社がPCI DSSに準拠するにはどうしたらよいですか。

 

A:データセンター側が顧客ごとにQSA審査を受け入れることは、運営管理上確かに難しいので、近年は日本国内でも、データセンターとしてPCI DSS認証を取得するところが出てきています。そうしたデータセンターの利用に切り替えるのが得策です。

しかし、クラウドベンダーについては、世界的にも難しい課題になってきており、PCI SSCでも課題ととらえています。当面は、クラウドベンダー側の瑕疵によってデータ漏えいが発生した場合の損害については、ベンダー側が責任を持つ約定を交わして、PCI DSSのどの要件がそれに該当するかを明確にしていく方法で対応するのがよいと考えます。

 

  rtn-to index.jpg


 B-3-04 多要素認証を必ずしも導入しなくてもよいケースはあるか

 

Q:PCI DSSで、CDE(対象となるカード会員データ環境)へのアクセスには多要素認証が必要とされています。①加盟店向けに決済状況等を確認できるWEBサイトを提供とする場合、②WEBサーバーに対するOSにコマンドを実行するためにログインする場合、どちらも多要素認証を採用しなければいけないでしょうか

 

A:①②どちらも多要素認証を組み込む必要があります。PCI DSS要件8.3では、CDE に対するすべての非コンソール管理アクセス、ならびにすべてのリモートアクセスについて、多要素認証を使用して安全に保護することが定められています。ただし例外として、自動機能を実行するためのアプリケーションまたはシステムアカウントには適用されません。
また、管理者がいったん多要素認証を使用してCDEネットワークにログインした場合、さらにCDE 内の特定のシステムやアプリケーションへログインするときには、再度多要素認証を使用する必要はないと定められています。
これらの要件は、2018年2月から推奨ではなく、必須要件になっています。

 

  rtn-to index.jpg


 B-3-14 PSPのPCI DSS準拠が QSA審査必須は、不公平ではないのか

Q:当初の実行計画2016に伴うJCAガイドラインでは、アクワイアラーはすべてQSA審査によるPCI DSS準拠が必要とされていました。しかし地方銀行や信金が、地元地域に限定して展開しているアクワイアラーから多くの要望が出て、SAQによる準拠でよいことになっています。
いっぽう、PSPには同様に取り扱い規模の大きくない事業者もあります。PSPが一律にQSA審査必須とされているのは、不公平ではないでしょうか。

 

A:地方のアクワイアラーからそうした要望が多く出されたのは事実で、ご指摘のように緩和されました。ただしそれらの地域限定アクワイアラーは、基本的に大手カード会社が構築した、PCI DSS準拠済みのシステムを利用するフランチャイジー(フランチャイズの加盟店側)なので、安全性が高いと判断されてSAQでの準拠が認められています。この点がPSPと異なりますから、やはりPSP企業はQSA審査でしっかり準拠いただくのが安全と思います。
とはいえ、PSP業界としての声を集めて、交渉してみてはどうでしょうか。実行計画のガイドラインも、業界の実情と調整しながら変化させていく姿勢で、協議会や各ワーキングが常に検討する仕組みになっていると思います。

 

  rtn-to index.jpg


△ ページ先頭に戻る

 

お問い合わせはこちらまで