割賦販売法が2018年6月に改正される。クレジットカード加盟店はカード情報の非保持化を実現するか、国際的な安全基準であるPCI DSS(Payment Card Industry Data Security Standard)に準拠したシステム環境を整えていなければならないが、実際には未だ対応に窮しているところも多いようだ。この状態が続けば個人情報漏洩の加害者になってしまう可能性が高まるだけでなく、セキュリティ対策調査を義務づけられたアクワイアラ(加盟店契約会社)から、契約を解除されてしまうこともあり得る。

本連載では、PCI DSSの認定審査機関(QSA)の資格を持ち、改正法対応を包括的に支援しているインフォセックに、加盟店における課題や今取るべき対策などを聞いていく。第1回は、対応が遅れている原因に焦点を当て、加盟店の現状を確認する。貴社がもし同様の悩みを抱えているなら、ぜひ今後の連載にご注目いただきたい。

具体策への着手が、いよいよ迫られている

インフォセック 認証ユニット ユニットマネージャー 鈴木庸介氏

インフォセック 認証ユニット ユニットマネージャー 鈴木庸介氏によると、現状、多くの加盟店が「カードブランドやアクワイアラから、セキュリティ強化計画の提出を求められ、その準備をしているフェーズ」にあるという。いよいよ具体策への着手が、現場側に強く求められるようになってきたということだ。こうした動きが影響していることもあり、改正割賦販売法やPCI DSSへの対応について、インフォセックに寄せられる相談は、この1年ほどで約3倍にまで増加している。

相談内容も、以前は「そもそも何をすればいいのか」というレベルが大半だったが、最近では経産省と日本クレジット協会が策定したガイドライン「クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画」(以下、実行計画)などを吟味したうえで、「当社のシステムをどう改修すれば非保持化できるのか」「当社のシステムはPCI DSSに適合するのか」といった、一歩進んだ内容が増えてきたという。

求められる専門性とコストが、最初のハードルに

インフォセック 認証ユニット セキュリティコンサルタント 伊賀誠氏

問い合わせ増加の要因は、対策そのものの難しさにもある。自社だけで改正法や「実行計画」に沿ったセキュリティ対策を施そうとすると、その負担は大きなものになると、認証ユニット セキュリティコンサルタント 伊賀誠氏は語る。

「対策に向けた情報が様々な団体・機関から出されている…というのが、最初に行き当たる難所だと思います。情報の大本は経産省なのですが、関連する協議会や協会が出している資料もあり、それらを集めて確認するだけでも大変です。しかも一つの事実を説明するのに、資料によって違う表現が用いられていてわかりにくかったり、それによって解釈に幅ができてしまったりする問題もあります」

コストも大きなハードルだ。PCI DSSに準拠させようとすれば、カード情報を管理・保存しているDBサーバやファイルサーバを置いた「カード会員データ環境(CDE)」はもちろん、そこに接続されるすべてのシステムコンポーネントを適用範囲と考えなければならない。これまでのビジネスで肥大化したシステム環境をそのままに、PCI DSS準拠を目指すとなれば、巨額の対策費用・審査費用がかかることになるだろう。PCI DSSの400を超える要件をきちんと把握し、適切に対応していくには、高度な専門知識が必要となることも取り組みを困難にしている。

ビジネス・業務の複雑化が、非保持化を困難に

そこで注目されてくるのが、PCI DSS準拠に比べてコストを抑えられる、カード情報の非保持化だ。店頭で読み取ったりECサイトに入力されたりしたカード情報を、自社で保存・処理せず、直接、PCI DSSに準拠済みの決済代行会社に送る仕組み(いわゆる「外回り」方式)を作ってしまえば、店舗や社内から情報が漏洩する不安がなくなるだけでなく、セキュリティ強化のために業務プロセスを変える必要もない。これこそが最上の方法に思えるが、「『外回り』にするだけで非保持化が実現できるケースは、実はそれほど多くありません」と、鈴木氏は言う。

「加盟店の多くでは、カード情報を含む顧客データを他部署と共有しながら顧客管理をしていますし、自社でカード情報を利用していなくても、外部の委託先に顧客のカード番号を渡さないと進められない業務があったりするものです。たとえば他社と提携して、クレジット決済でポイントが付与されるサービスを展開している場合です。ポイント管理システムと決済システムは別々のものですが、ポイントと消費者の紐づけにカード番号を利用していることが多いようです」

完全な非保持化が行えない場合の最善策を探る

インフォセック 認証ユニット シニアセキュリティコンサルタント 鳥飼勝利氏

完全な非保持化が行えない場合は、社内で保管・管理するデータおよび社内を通過するデータに高度な暗号化処理を施せば「非保持と同等」と見なされる(いわゆる「内回り」方式)。そのためには現状、社内のどこにカード情報があるのか、どのネットワークを流れているのか、そして誰がどういう目的で利用しているのかを明確にしなければならないが、業務やシステムが複雑化した企業では、こうした洗い出し作業も大きな負担となりかねない。

対応が急務とされる今、その道のプロフェッショナルに相談するのが一番の近道となりそうだ。認証ユニット シニアセキュリティコンサルタント 鳥飼勝利氏は言う。

「現在、当社も含めPCI DSSの認定審査機関(QSA)は国内に20社ほどありますし、コンサルティングを行っている企業も増えています。自社だけで解決しようとして時間と労力を費やすよりも、一度、専門企業に分析してもらうのがベストでしょう」

次回はインフォセックの改正法対応サポートを例に、どのような流れで対策を進め、どう課題をクリアしていくべきなのかについて紹介する。

高い専門性と豊富な実績を誇る
インフォセックの分析・支援サービス

・PCI DSS準拠やデータ非保持化に必要な法対応をトータルで
 サポート!
・現状分析からアフターフォローまで一気通貫で対応
・PCI DSSの認定機関(QSA)ならではのソリューションを提供
・多方面からセキュリティを支援できるインフォセックの強み

→詳細はこちら

[PR]提供:インフォセック