クレジットカード情報を持たなければ、PCI DSSに準拠する必要はなくなるということですね。
森氏 国の政策も、カード加盟店が情報を自社で管理しない方向で話を進めています。具体的には、クレジットカード決済代行事業者や、カード情報の管理を請け負うサービスプロバイダーに、情報管理を委託するよう勧めています。カード情報を保有しなければ、少なくともカード加盟店からの情報漏えい事故は発生しませんし、PCI DSSに準拠するための投資も必要ありません。
しかし、百貨店などでは顧客管理番号としてクレジットカード番号を使っているケースが少なくありません。カード情報の管理をアウトソースすると、新たに顧客管理番号を付与して管理しなければならなくなります。
鍋島氏 ECサイト運営会社では、カード情報の預かりサービスを決済代行事業者が提供しているので、顧客管理にはカード番号以外の番号を用いるのが主流です。また、「トークン化(トークナイゼーション)」と呼ばれる手法でPCI DSSの審査対象範囲を狭めて、セキュリティリスクを低減させる対策も米国では採用され始めています。
トークン化とは、加盟店側のシステム上で、クレジットカード番号の一部または全体を別の乱数で置き換えたIDを作成し、内部での処理にカード番号の代わりに用いる手法です。元のカード番号が必要な場合には、IDを発行した「トークンサーバー」に問い合わせる格好になります。これにより、システムのうちPCI DSSに準拠すべき範囲が狭まり、改修のための投資が低減できることになります。ただ、米国の事例はあるものの、日本国内で実装している企業はないようです。
なお、外部委託によりクレジットカード情報を自社で「保存」していない場合であっても、「処理」「伝送」の範囲はPCI DSSの審査対象となります。委託先管理の責任も残るため、注意が必要です。
武藤氏 確かに、大手百貨店の多くは、顧客管理の利便性から、自社でクレジットカード情報を管理しています。しかし、セキュリティの観点から考えれば、これは危険です。とはいえ、トークン化のような仕組みを導入するには、顧客管理システムの改修に数千万円かかる場合もあるでしょう。このため、システム更新のタイミングが来るまでは、「現状のままでいいや」となりがちです。正直、この部分はPCI DSS普及のネックになっています。
