まだ間に合う? PCI DSSにまつわる疑問をまとめて解消!

クレジットカードを取り扱っている店舗や企業なら、もはや「知らなかった」ではすまなくなった改正割賦販売法。そのガイドラインとして策定された「クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画」（以下、実行計画）では、PCI DSS準拠・カード情報の非保持化などのセキュリティ強化が定められている。

本稿では改正割賦販売法への対策について「いまさら聞けない質問」と、その回答をまとめた。対策が遅れ気味という企業の担当者は、おさらいの意味も含めて一読し、今後に役立てていただきたい。

なお、回答は、PCI DSSの認定審査機関（QSA）の資格を持ち、セキュリティ関連のコンサルティングやPCI DSS準拠支援を行っているインフォセックにお願いした。

Q　いつまでに、どのようなセキュリティ対策を取らなければいけない?

A　クレジットカード加盟店は、2018年6月末までにカード情報の非保持化^※、あるいは国際的なセキュリティ基準であるPCI DSSに準拠したシステムおよび運用体制を整えていなければならないことになっています。ただ全体的に取り組みが遅れており、アクワイアラ（クレジットカード加盟店契約会社）から、対応計画書の提出を求められている段階の企業も多いようです。
※非保持：自社のネットワークや構成機器にて、カード情報を保存・処理しないようにし、自社のシステムを通過させないこと。

Q　対策を取らない場合の罰則はある?

A　現状で法律上の罰則はありませんが、対策を講じない加盟店はアクワイアラから加盟店契約を解除されることもあるようです。そもそもカード情報が漏洩すれば、損害賠償は莫大なものとなるため、この機会に対策を進めることが重要でしょう。なお、PCI DSSに準拠した場合には、万一情報が流出し、不正利用されても、国際ブランドからの賠償が減免されるケースがあります。

Q　非保持化とPCI DSS準拠、どちらを行うべきなのかわからない

A　たとえばECサイト運営のみを業務としている企業ならば、カード情報の入力・処理に関わる業務を、既にPCI DSSに準拠している決済プロバイダにすべて委託し、サイトを多少改修するだけで非保持化が実現します。しかし、多岐にわたる業務でカード情報を扱っていたり、カード情報を他のサービスと紐付けていたりする場合、非保持化は困難でしょう。この場合はPCI DSSに準拠しなければなりません。

⇒【参考】ビジネス・業務の複雑化が、非保持化を困難に

Q　どのように対応すればいいのか、見当がつかない

A　コンサルティングを行っている企業に相談されることをお勧めします。コンサルティングを利用すると、以下のメリットがあります。

1. 情報収集の一元化（制度関連、ソリューション、業界動向……）
2. 対応負荷の軽減（規程の作成、システム改修、手順書作成……）
3. 適切なセキュリティ対策の実装

Q　自社でPCI DSS準拠を進める場合、どのような作業が必要?

A　PCI DSSに準拠するには、審査機関（QSA）の訪問審査を受けて認定を取得する方法と、自己問診（SAQ）で準拠体制を整える方法があります。いずれにしてもカード情報にアクセスできるネットワーク上のシステムすべてを、PCI DSSの要件に沿うようにする必要があります。既存システムのまま行うと、改修費もPCI DSSへの対応費用も巨額になってしまう可能性があります。

⇒【参考】最適化でPCI DSS準拠や、その後のコストを抑える

Q　中国の銀聯（ぎんれん）カードしか取り扱っていなくても実行計画への対応は求められる?

A　対策は必要です。非保持化ができない場合はPCI DSS準拠が求められます。

Q　ダミーカード番号もPCI DSS準拠の対象になる?

A　いいえ。各ブランドが指定する「VISA：4242 4242 4242 4242」のようなダミーカードは、PCI DSS準拠の対象外となります。

Q　加盟店へのコールセンター、データセンターなどのBPO事業者もPCI DSS準拠が必要?

A　いいえ。実行計画ではBPO事業者やサービスプロバイダにもセキュリティ対策が求められますが、PCI DSS準拠が絶対条件ではありません。しかし加盟店から準拠を求められる可能性があるのと、準拠していれば貴社のセールスポイントになるでしょう。

Q　テレフォンオーダーに自動音声応答（IVR）を導入して非保持化を達成しているが、高齢なお客様からの要望でPAN（クレジットカード番号）の入力を代行したい

A　ハードフォン（固定電話）での代行入力は非保持同等と認められています。ただしIP電話を使用している場合や、社内システムに接続したPCを用いる場合は、適切なセキュリティ対応が必要となります。

Q　どうしても満たせないPCI DSS要件がある場合はどうする?

A　技術的あるいはビジネス上の制約のためにPCI DSSの要件を満たせない場合、代替コントロールという考え方があります。代替コントロールは以下の条件を満たす必要があります。

1. 元のPCI DSS要件の目的および厳密さを満たす
2. 元のPCI DSS要件で防御の対象とされているリスクを代替コントロールが十分に相殺できるよう、元のPCI DSSの要件と同等のレベルの防御を提供する
3. その他のPCI DSS要件「以上」のことを実現する
4. PCI DSS要件に従わないことによって課せらせるその他のリスクを考慮する

Q　PCI DSSではPANを保存する際、読み取り不能にすることが要求されているが、業務上どうしても読み取りの必要がある場合は?

A　システム構成にもよりますが、読み取り不能にできないPANに対して強力なアクセス制御を行い、代替コントロールとすることができます。具体的には以下のすべてを実装することが考えられます。

1. 内部ネットワークのセグメンテーション
2. IPアドレスまたはMACアドレスフィルタリング
3. 内部ネットワークからの多要素認証

Q　共有のID／パスワードを使用して、CDE^※内のサーバーへログインしているが、この運用のままPCI DSSへの準拠は可能?

A　システム構成によるものの、踏み台サーバーを導入し、当該サーバーへの管理アクセスを踏み台サーバー経由に制限すれば、代替コントロールとして認められるでしょう。ただし踏み台サーバーへのアクセスは、ユーザーごとに一意のIDが割り当てられていること、そのアクセスログを管理することが条件となります。
※CDE：カード会員データを扱う環境のこと。

Q　実行計画に基づいて非保持化対応を行った場合、その認定はしてもらえる?

A　非保持化を認定する制度はありません。ですが非保持化についてのコンサルティングを当社にご依頼いただければ、どのような形で非保持化を実装したかの報告書をお出しできます。アクワイアラなどから非保持化対応について質問された場合に、第三者の監査報告書として説得力のある回答が可能です。

非保持化とPCI DSS準拠、どちらの策を取るにしても、法令やITに関する相応の知識や技術が必要となることは間違いない。改正法が既に施行されている今、自社だけで対応しようと苦心するよりも、早めに専門の企業に相談したほうが、コスト的にも時間的にもメリットがあるだろう。

[PR]提供：インフォセック