電話、ハガキオーダー受注処理を行っている加盟店向け PCI DSS準拠は必要ですか?

滝村 享嗣

こんにちは、株式会社リンクでセキュリティプラットフォーム事業部責任者としてクレジットカードのセキュリティ基準であるPCI DSSの普及に取り組んでいる滝村と申します。今回はECサイトでの販売に加えて、電話、ハガキオーダーを受け付けている加盟店でのカード情報非保持化の現状についてお話させて頂きます。

*PCI DSSとは、カード加盟店や決済代行事業者などのサービスプロバイダにおいて、カード会員データを安全に取り扱う事を目的として策定された、クレジットカード業界の国際セキュリティ基準です。

【第1回】クレジットカードに対するセキュリティ対策
https://www.ecnomikata.com/column/15205/

「クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画2017年版」*(以下「実行計画2017」)では、前年版の実行計画において扱いが曖昧だった電話、ハガキでカード決済処理を受けつけるMail-Order/Telephone-Order(以下、MOTO)加盟店の取扱いが明確化されました。「実行計画2017」の発行後、多くのMOTO加盟店がこの非保持化対応に試行錯誤している状況でです。

*クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画2017
http://www.meti.go.jp/press/2016/03/20170308003/20170308003.html


一般的な通販事業者のカード決済処理

一般的な通販事業者のカード決済処理

実行計画2017では、カード加盟店における非保持化の条件として、「カード情報を保存する場合、 紙の伝票のみで処理し、自社で保有する機器において「カード情報」を『保存』、『処理』、『通過』しないこと」を求めています。

一般的にテレフォンオーダーでクレジットカードによる決済を行う場合、以下の手順で行われます。

1)顧客は電話でコールセンターのオペレーターにカード番号と有効期限を伝える
2)それらの情報をオペレーターが自社のパソコンで決済代行事業者(PSP)の提供する決済処理画面に入力し、インターネット経由で伝送する。
3)PSPを経由して決済処理をし、結果を戻す。
4)決済処理が完了したとしてオペレーターが受注を確定する。

2)でカード情報をPSPに伝送するために使用するパソコンは、「自社で保有する機器」である。つまりこの時点で、「カード情報」が『通過』することになるため、非保持とはみなされません。すなわちPCI DSS準拠が必要となります。例えばそのパソコンがキーロガーなどのマルウェアに感染して、データとして入力したカード情報が外部に流出する可能性があります。そのような事態は容易に想像できるため、それらのパソコンやファイアウォールに対してPCI DSSのコントロールが必要になるのです。

「クレジットカード非保持化」が困難な理由

ではMOTO加盟店が「カード情報非保持」の条件を満たすためには、どのようにすればよいのでしょうか。

「実行計画2017」では、スーパーマーケットや飲食店などの対面加盟店では、CCT及び同等のセキュリティ措置がされた決済端末のみで決済処理する場合は、「外回り方式」として非保持扱いになっています。

よって通販事業者などMOTO加盟店が、この方式をとった場合も非保持と解釈されると思います。すなわち、「顧客から電話もしくは紙媒体で伝えられたカード情報を、PCではなく、CCTなど専用の決済端末に金額と共に1件ずつ入力し、独立した通信回線で決済処理する」という方法をとれば、「カード情報非保持」の条件を満たしていると考えられます。

加えて、この方式を採用したMOTO加盟店が、カード情報が含まれる紙の情報、それらをPDFにしたものや通話録音データを取引記録として保存していたとしても、それらは非保持扱いになります。

決済処理件数が少ないMOTO加盟店であれば、この方法での非保持化も不可能ではありません。また古くからカード処理をしている通販事業者からすれば、昔の方法に戻るととらえるかも知れません。しかし、一定以上の取引規模の通販事業者などMOTO加盟店では、この方法への移行は現実的でないと思われます。取引規模が多いMOTO加盟店では、決済処理をするPSP画面と受発注システムが連動するなど、決済業務が効率化されているためです。

SAQ C-VTでもハードルは高い

では、PCI DSSに準拠するのであれば、もっとも負担が少ないアプローチはどんな方法があるのでしょうか。

「実行計画2017」でも紹介された通り、主に通販事業者などのMOTO加盟店を対象とした自己問診(以下SAQ)であるSAQ C-VTが適用できる可能性があります。その適用条件を満たすことができれば、PCI DSSで定められた331項目のうち85項目に要件が緩和されます。

PCI DSS 3.2 SAQ C-VTでは、SAQ C-VTを使用できる加盟店の条件として以下を挙げています。

・支払いはインターネットに接続されたWebブラウザによってアクセスされる仮想端末によって行われること
・仮想端末のペイメントソリューションはPCI DSS準拠のPSPによって提供されること
・仮想端末にアクセスするコンピューターは、自社システムから切り離されてインターネットに接続するコンピューターであること。
・自社で保有する機器において、カード会員データを『保存』、『処理』、『通過』しないこと。

要約すると、自社システムから全く切り離されたパソコンで、カード情報を1件ずつWebブラウザ上から入力する形態であれば、SAQ C-VTが該当することになります。

前述の自社の受発注のシステムとPSPの決済画面が連携している場合は適用できません。また受発注システムにカード情報を保存し、日次などのバッチで決済処理をする場合も同様です。

では、そうだった場合、使用するSAQは、何になるのだろうか?SAQ D加盟店版となると思います。すなわち331項目のフルの対応が必要となると考えられます。しかし、この対応はMOTO加盟店にとって負担が極めて大きいため、緩和の要望も強く、通信販売やクレジットカード及びPSPの業界団体では、現在も検討が続いているという話を聞いています。


紙の伝票と録音データにもPCI DSS準拠が必要

前述の通り、カード決済処理を紙の情報、それらをPDFにしたものや通話録音データのみで実施していた場合は、非保持扱いになります。非保持扱いになれば、PCI DSS準拠の必要はありません。

しかし、非保持とPCI DSS準拠のハイブリッド適用はできないという原則があります。カード情報を自社のパソコンに入力する業務がある場合は、それらのMOTO加盟店は「非保持」を選択することができないため、PCI DSS準拠が必要となります。一旦PCI DSS準拠となるとグローバルなルールが適用され、カード情報が含まれる紙やそれらをPDF化したものや通話録音データもPCI DSSの対象範囲に含まれます。PCI DSSの対象範囲の考え方は、「準拠する事業体において、カード情報を取り扱う業務とシステム全体を含めなければならない」となっているからです。

結果としてPCI DSS準拠を選択したMOTO加盟店は、「実行計画2017」で非保持扱いとされているカード情報が含まれる紙情報なども、PCI DSSに準拠したコントロールをしなければならないということになります。



電話、ハガキでの受注を行っているEC/通販事業者はまず、自社におけるクレジットカード情報の取扱及びセキュリティ対策状況について、しっかり確認してください。

■参考サイト
クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画2017
http://www.meti.go.jp/press/2016/03/20170308003/20170308003.html


リンクでは、コンサルティングサービスのご提供及びPCI DSSに関するセミナーを随時開催しています。個別相談会を随時開催しておりますので、ご興味がございましたら是非ご参加ください。

カードセキュリティ対策やPCI DSSに関する最新動向:http://pcireadycloud.com/blog/
お問い合わせ:https://pcireadycloud.com/users/system/exe/pci_inq_form.php



著者

滝村 享嗣

セキュリティプラットフォーム事業部 事業部長

1999年、IT関連の上場企業に入社。その後、クラウドサービスやセキュリティ事業者のスタートアップ企業の営業責任者として従事。そのほか、経営や財務、マーケティング等、幅広い業務に携わる。2011年にリンクに入社し、セキュリティプラットフォーム事業の事業責任者として、PCI DSSの普及に尽力している。

http://pcireadycloud.com/