対面販売であれ電子商取引(EC)であれ、クレジットカードで商品やサービスを決済する会社はカード販売に関する法律の改正により、対応が迫られる。タイムリミットは早ければ2018年3月。あと1カ月余りである。
カード販売に関する法律の改正版である「割賦販売法の一部を改正する法律(以下、改正割賦販売法)は2018年5~6月ころに施行される予定だ。加盟店などは業界団体が策定した「クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画2017(以下、実行計画)」を実務上の指針として、セキュリティ対策に関する義務を履行しなければいけない。
第2回の今回はクレジットカードの国際セキュリティ基準である「PCI DSS(Payment Card Industry Data Security Standard)」の内容をひもといていく。
PCI DSSとは何か
PCI DSSはクレジットカード情報とその取引情報を保護するためのグローバルセキュリティ基準である。国際的なペイメントブランドの5社(JCB、米アメリカン・エキスプレス、米ディスカバー・ファイナンシャル・サービシズ、米ビザ、米マスターカード)が2004年に共同で策定した。この5社が共同で設立した団体である「PCI SSC(Payment Card Industry Security Standards Council)」がPCI DSSの策定・維持、評価手順の確立、認定審査会社の教育・試験などを担っている。
PCI DSS制定以前は、国際ペイメントブランド各社ごとにリスク管理プログラムが存在し、加盟店はそれぞれに応える必要があったため負担が大きかった。一方、インターネットが普及するにつれて、クレジットカード関連のセキュリティインシデント(事故)が増加していた。この2つの課題を解消するため、前述の5社が協調してPCI DSSを策定。統一的な対応で済むうえに、インシデントを発生しにくくする仕組みとした格好だ。
一般消費者がPCI DSSの存在を知るケースはほとんどない。だが、安心安全なカード取引を陰で支えてきたのも事実だ。
PCI DSSは約400項目以上の審査項目から成る。1度合格すればよいものではなく、年1回の更新が求められる頻度も相まって、維持が難しい規格として有名だ。セキュリティ規格を細かいレベルで厳格に定義しており、PCI DSSへの準拠は一定のセキュリティレベルを維持している証明といえる。
ただ、他のセキュリティ認証規格と同様、PCI DSSに準拠すればカード情報が漏洩しないというわけではない。事実、日本でもPCI DSSに準拠し認証を取得した企業がサイバー攻撃に遭うなどしてカード情報を漏洩している。
第1回の記事で説明した通り、実行計画では、カード情報を取り扱う企業にはPCI DSS準拠を求め、加盟店には原則としてカード情報を保持しない「非保持化」を推奨している。この推奨事項は、PCI DSSや他のセキュリティ規格・基準にいくら認証・準拠してもカード情報を保持する限り、漏洩リスクをゼロにできないという現実を反映している。
ビジネス上必須でないのであれば、カード情報を持たない。これにより漏洩リスクをゼロにするという考え方だ。
ここからはカード情報を自社で取り扱う必要がある企業の担当者向けにPCI DSSを解説する。ただし、非保持化に取り組む加盟店の担当者にとってもPCI DSSの概略を理解することが欠かせないため、もうしばしお付き合いいただきたい。
