小売店舗・カード加盟店のセキュリティ対策期限、迫る! データ非保持化か、PCI DSS準拠か

本年6月1日の改正割賦販売法の施行が迫る中、PCI DSSの認定審査機関(QSA)であり、コンサルティングや準拠支援サービスなどを手がけているインフォセックが「カード情報を『非保持化』するには？小売店・加盟店向けPCI DSS解説セミナー」を都内で開催した。本稿ではその概要を紹介する。

小売店・加盟店が留意すべき改正法のポイント

セミナーではまず、経済産業省商務・サービスグループ商取引監督課課長補佐の原充氏が登壇、改正割賦販売法とクレジットカード取引のセキュリティ対策について解説した。改正法では加盟店契約会社 (アクワイアラー等)が登録制となり、加盟店のセキュリティ対策の調査等を行うことが義務づけられている。これは加盟店におけるクレジットカードの不正使用や漏洩事件が増加していることを受けて定められたもので、不十分な加盟店については、契約先のアクワイアラー等により、合理的な期間内に基準に適合するよう指導を受けることになる。なお、指導に従わないとき又は適合することが見込まれない場合、契約を解除されることもあるので注意が必要だ。

また「クレジットカード番号等の適切な管理(改正法第35条の16)」や「不正使用の防止(同条17の15)」については、加盟店が「必要かつ適切な措置」を取ることが求められている。その手段として、クレジット取引セキュリティ対策協議会(以下、協議会)が策定した「クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画」(以下、実行計画)に掲げる措置又はそれと同等以上の措置を講じている場合には、「必要かつ適切な措置」が講じられていることになるので、実行計画で掲げられた対策が実務上の指針となる。

この実行計画の3本の柱となっているのが「1　カード情報の漏えい対策」「2　偽造カードによる不正使用対策」「3　ネット取引等における不正使用対策」だ。このうち2および3が、法令の「クレジットカード番号等の不正利用防止」に対応している。偽造カード対策としては、クレジットカードのIC化とともに、加盟店においてはクレジット決済端末のＩＣ化を実装する段階に入っている。また、EC加盟店等においては、リスクに応じて、「本人認証」、「券面認証」、「属性・行動分析」、「配送先情報」といったなりすましによる不正使用防止対策を導入することが求められている。

経済産業省商務・サービスグループ商取引監督課課長補佐原充氏

カード情報の「非保持化」を実現するには

法令の「クレジットカード番号等の適切な管理」に対応するのが、実行計画の「1　カード情報の漏洩対策」だ。具体策としては、「加盟店におけるカード情報の『非保持化』（これと同等/相当の措置を含む）」あるいは「カード情報を保持する事業者のPCI DSS準拠」が求められている。

加盟店における「非保持化」とは、"自社の機器・ネットワークにおいてカード情報が「保存」「処理」「通過」しないこと"だ。これを実現するための仕組みとしては、対面加盟店に設置されたクレジット決済専用端末から直接、PCI DSSに準拠した自社外の情報処理センターなどに伝送する「外回り方式」である。また、「内回り方式」であっても、クレジット決済端末の段階でカード番号を暗号化し、自社内で復号できないようにすることで（注：暗号化等の処理において所定の条件をクリアする必要あり）、カード番号を特定できない状態とすれば、「非保持化と同等/相当」の措置として扱うことが認められる。この「非保持化」や「非保持化と同等/相当」の措置を実現した場合には、加盟店でPCI DSSの審査を受ける必要はない。

対面加盟店で「非保持」(これと同等/相当の措置を含む)を実現する方式 ※クリックで拡大

EC加盟店の場合は、消費者の購入手続き時、クレジットカード決済についてはPCI DSS準拠の決済代行会社が用意した画面で入力する「リダイレクト型(リンク型)」、カード番号をトークンに置き換えて決済する「Java Script使用型」といった方式であれば、加盟店のECサイトをカード情報が通過しない「非通過型」であり、カード情報の「非保持化」が実現される。つまり、加盟店でPCI DSSの審査を受ける必要がない。また、メール・テレフォンオーダー加盟店では、PCI DSS準拠のASP/クラウドセンターに直結する決済専用端末か、PCI DSS準拠の決済代行業者が提供する非通過型決済サービスに直結したタブレット端末を利用することで、「非保持」を実現できる（注：実行計画2018で改訂予定）。

PCI DSS準拠で注意すべきは「適用範囲」

一方、どうしてもカード情報を保持する必要がある場合には、PCI DSSに準拠しなければならない。しばしば問題になるのが「自社のどの範囲がPCI DSSの適用範囲になるのか」ということだ。PCI DSSのセキュリティ要件は、カード会員データ環境(CDE ※1)と、そこに接続されるすべてのシステムコンポーネントに適用されることになっている。

※1　CDE：カード会員データ(クレジットカード番号、会員名、サービスコード、有効期限)または機密認証データ(全トラックデータ、セキュリティコード、PINまたはPINブロック)を保存、処理、送信する人およびテクノロジーがこれにあたる

インフォセックで企業のPCI DSS準拠支援を行っている鈴木庸介氏は、PCI DSSの適用範囲を整理するためには、企業のネットワークを4つのブロックにわけるのが分かりやすいという。第1はCDE、第2に共有サービス(CDEと直接通信しているActive Directoryやログ収集サーバなど)、第3に企業内LAN(ファイルサーバや経理サーバなど)、最後に委託業者が利用する外部環境だ。第1ブロックはもちろん、CDEに直接アクセスする第2ブロックもPCI DSSの適用範囲となる。そのほかはケースバイケースで、保守や運用のために第1・第2ブロックにアクセスしなければならない端末があれば、それらは適用の範囲内となる。

鈴木氏が説明した、企業のネットワークの4つのブロック(各青枠) ※クリックで拡大

鈴木氏によれば、本来カード決済とは関係のないいくつもの端末やサーバが、CDE内に存在する企業が多々見受けられるという。そのままPCI DSS準拠を目指すとなれば、そうした無関係のサーバや端末、ネットワークにもPCI DSSで定められたセキュリティ対策を施す必要が生じてくる。しかも認証更新のために毎年審査を受け続けなければならなくなり、時間もコストもかかってしまう。PCI DSS準拠を検討するなら、現状のネットワーク構成を整理して、適用範囲を減らすところからはじめるべきだろう。また認証審査では適用範囲すべてが対象となるため、「コールセンターだけ準拠」「ECサイトだけ準拠」という分割ができないことにも注意しなければならない。

クレジットカード加盟店に残された時間はそう長くはない。「非保持」かPCI DSSか、いずれを選ぶにしても専門の知識や判断が必要となるため、早めにカード会社やコンサルティング会社に相談してほしいと鈴木氏はいう。

インフォセックセキュリティビジネス本部シニアコンサルタント PCI DSSチームリーダー鈴木庸介氏

PCI DSS準拠は「選ばれるデータセンター事業者」の条件

TOKAIコミュニケーションズシステムソリューション本部アプリケーション事業部基盤技術部部長内田修司氏の講演では、同社のデータセンターがPCI DSSの認証を取得するまでの経緯が語られた。法人・個人向けの通信事業と、データセンター、クラウドサービス、ソフトウェア開発、SIなどの情報事業を幅広く展開している同社では、PCI DSS需要の増加に対応すべく、2014年から岡山・静岡の2データセンターの認証取得プロジェクトをスタートさせた。PCI DSSのセキュリティ基準と、両センターがすでに取得していたISO20000 / ISO27001の基準とを対比させた独自のマニュアルを作成し、PCI DSSへの理解を深めつつ対応を進めるといった工夫を行いながら、2015年、データセンターとして必要な「要件9」「要件11.1」および「要件12」(※2)の準拠を達成した。同社では"PCI DSS準拠のデータセンター"という事実だけでなく、認証取得までの経験や、これまでに手がけたPCI DSS開発案件での実績をSIerおよびデータセンター事業者としての強みにして、今後のビジネス展開を図っていくという。

※2
要件9　カード会員データへの物理アクセスを制限する
要件11.1　四半期ごとにワイヤレスアクセスポイントの存在をテストし、承認されていないワイヤレスアクセスポイントを検出する
要件12　すべての担当者の情報セキュリティポリシーを整備する