PCI DSS未対応は罰則やペナルティーも!?認証取得の方法や対応プロセスについて徹底解説

f:id:PentaSecurity:20190121092750j:plain

 

前回は、PCI DSS(PCIデータセキュリティスタンダード、Payment Card Industry Data Security Standard)が策定された背景や目的、その要件や範囲についてお伝えしました。

 

参考:

bit.ly

 

カード情報を取り扱う事業者は、改正割賦販売法によって「カード情報の非保持化」またはカード情報を保持する場合は「PCI DSS準拠」が法的に求められています。そこで今回はさらに詳しく、PCI DSS認証取得の方法や対応プロセスについても解説していきたいと思います。

 

PCI DSS準拠の対応期限

2016年12月9日に公布、2018年6月1日に施行された改正割賦販売法により、カード情報の適切な管理(割賦販売法 三十五条の十六)がカード情報を取り扱う事業者に求められました。カード情報を取り扱う事業者は、改正割賦販売法を尊寿遵守する義務があります。カード情報を取り扱う事業者とは、業務上社内でカード情報を取り扱う必要がある組織を指し、店舗等で対面取引を行うカード会社加盟店、ECサイト加盟店、カード情報の入力代行業務、コールセンター業務など非対面で行う事業者等が含まれます。

 

改正割賦販売法の指針となるべく発表された「クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画2018」によると、カード情報非保持化またはPCI DSS準拠の対応期限として、対面加盟店は2020年3月末まで、非対面加盟店は2018年3月末までの対応が義務付けられています。業務上、社内でカード情報を取り扱う必要がある組織はPCI DSS準拠が求められ、委託先においてカード情報を管理する場合はカード情報非保持化を進めることになります。

 

JCBの公式サイトででも「割賦販売法の改正に関するお知らせ」として、カードの加盟店に対し以下のよう対応を促しています。

 

【加盟店様にご対応いただくこと】

 

[1]カード情報の漏えい対策のため、原則として「カード情報の非保持化(※1)」をすること。カード番号等を保持するのであればカード情報セキュリティの国際基準であるPCI DSS(※2)に準拠すること。

[2]不正使用対策として、店頭販売加盟店様は偽造防止対策としてICカードによる決済ができる端末を設置すること。オンライン販売(インターネット取引)加盟店様は、なりすましによる不正使用を防止するための対策をとること。

 

1 「カード情報の非保持化」とは、「カード情報」を電磁的に送受信しないこと、すなわち加盟店様で保有する機器・ネットワークにおいて「カード情報」を電磁的情報として「保存」、「処理」、「通過」しないことをいいます。なお、紙やスキャンデータ、音声データ等でカード情報を保持していても、それをもって「保持」とはみなされません。

2 「PCI DSS」とは、クレジットカード会員データを安全に取り扱う事を目的として策定された国際基準です。詳しくは、日本カード情報セキュリティ協議会のホームページをご参照ください。

 

https://www.jcb.co.jp/merchant/release/kappu_security.html

 

 

非対面加盟店については既に対応期限を迎えていますが、対面加盟店は今後対応に向けて認証取得のプロセスを進めていかなければいけません。次項では自社においてカード情報を取り扱う必要がある組織におけるPCI DSS準拠する方法をみていきす。

 

PCI DSS認証取得の方法

PCI DSSへの具体的な対応方法は、カード情報の取扱い形態や規模によって、訪問審査、サイトスキャン、自己問診の3つの方法があります。

 

1. 訪問審査

PCI国際協議会によって認定された審査機関(QSA=Qualified Security Assessor)による訪問審査を受けて、認証を得る。QSAの一覧は、PCI国際協議会のサイトに掲示されています。

カード発行会社をはじめ、情報の取扱い規模の大きな事業者に、要請されている方法です。

 

2. サイトスキャン

WEBサイトから侵入されて、情報を盗み取られることがないか、PCI国際協議会によって認定されたベンダー(ASV=Approved Scanning Vendor) のスキャンツールによって、四半期に1回以上の点検を受けて、サイトに脆弱性のないことの認証を得る。ASVの一覧は、PCI国際協議会のサイトに掲示されています。

カード情報の取扱いが中規模、およびインターネットに接続している事業者には必須の方法です。

 

3. 自己問診

PCI DSSの要求事項に基づいた、アンケート形式によるチェック項目に回答して、すべて「Yes」であれば、準拠していると認められます。カード情報取扱い件数の比較的少ない、一般加盟店などの事業者向けの方法です。

 

当初のVer1.0は、セキュリティに関するITの専門用語が並んでいて、一般の商店経営者の方がこの設問を理解するのは、かなりたいへんな内容でした。そこで2008年2月に改訂されたVer1.1では、一般加盟店やサービスプロバイダーなどの形態別に分けて制作され、PCIDSSを理解いただけるよう、工夫されています。

※日本語版は2008年10月からVISA-Japanのサイトに掲載されています。

 

以上の3つの方法については、いずれか1つの適用というわけでなく、カード情報の取扱い規模や事業形態によって、複数を実施する必要があります。またAISやSDPなど、各カードブランドのプログラムによって、適用するレベルが異なっています。

 

PCI DSS対応のプロセス

それではどのように対応していけばいいのか、準拠対応のプロセス例をあげてみます。

 

1.PCI DSS準拠対象範囲の確定

カード会員情報の取り扱い範囲特定し、それを元にPCI DSS準拠対応が必要な範囲を確定します。PCI DSS準拠対応においては、この最初の対象範囲(=スコープ)を見極めて確定する作業が非常に重要な作業となります。

 

2.準拠の種類の決定

PCI DSS準拠の種類(完全準拠、または一部の要件を満たす部分準拠)を決定します。

 

3.改善案と改善計画の策定

現在のシステムのセキュリティ対策状況を確認し、PCI DSSの要求事項とのギャップを分析します。分析結果に元に改善計画書を策定します。

 

4.実装と確認

対応計画に従い、改善対応を行います。設計書などの変更、システムへの実装および運用手順書などの作成や変更を行います。

 

5.訪問審査

審査機関(QSA)が訪問審査を実施します。

 

対象範囲確定から計画立案、実行、テストまで一連のプロセスプロセスは綿密な計画が必要となってくるため、すべて自社で対応するのは困難なケースも多々あります。PCI DSS準拠支援サービスをアウトソーシングすることにより、プロセスの明確化、実装、フォローアップを受けられより確実にPCI DSS対応が進みます。

 

 

PCI DSSに未対応の場合

これまで日本国内でPCI DSS自体に法的拘束力はありませんでした。しかし、冒頭で述べた通り、2016年12月9日に「割賦販売法の一部を改正する法律」(「改正割賦販売法」)が公布され、クレジットカードを取り扱う加盟店において、カード番号等の適切な管理や不正使用対策を講じることが義務づけられることになりました。

 

現時点では法的な罰則は明記されていないものの、PCI DSSに準拠していない場合は、情報漏えい等に伴う罰金、カードの再発行費用、監査や調査にかかる莫大な費用を負担する可能性が出てくる上、ブランドイメージにも傷がつく可能性があります。

 

すでに改正割賦販売法は施行されていますが、具体的な対応策に乗り出さずに法令上の基準を満たしていない状態になってしまっている加盟店も少なくないのが現状です。対策をとらない加盟店に対して、一部サービスの停止をアナウンスする決済代行事業者も出てきています。法令上の基準を満たしていない状態が続けばクレジットカード会社から加盟店契約を解除され、決済不可となる可能性もあります。自社の対応状況をきちんと見直し、法令に準拠しなければなりません。

なお、PCI DSSの準拠のためには、自社の状況とシステムに合わせたソリューションを採用することが最も大事でしょう。 

 

PCI DSSの関連記事はこちら≫≫

www.pentasecurity.co.jp

 

www.pentasecurity.co.jp

 

f:id:PentaSecurity:20170706174005p:plain