2018/3/1に公表された「実行計画2018」において、クレジットカード情報が記載された紙を画像スキャンしたPDFデータを保存するのは「カード情報非保持としてよい」とされました。
これは実行計画2017においても、実は業界関係者版では非保持として認められていました。ところが公表版では保持とされているのと、関係者版では非保持としてよい、というルールはまったく真逆であり、関係者版を入手していない加盟店等からの問合せが、多数発生したようです。それで実行計画2018では、公表版でも非保持とする表現で統一されました。
以下の文章になっています。
P11の「2.加盟店におけるカード情報の非保持化の推進について」
実行計画で示す加盟店における「非保持化」とは、カード情報を保存する場合、それらの情報は紙のレポートやクレジット取引にかかる紙伝票、紙媒体をスキャンした画像データ等のみであり、電磁的に送受信しないこと、すなわち「自社で保有する機器・ネットワークにおいて「カード情報」を『保存』、『処理』、『通過』しないこと」をいう。
ここで注意しなければならないことがあります。
紙媒体をスキャンした画像データを、『保存』する場合に限って非保持とみなすと書かれています。つまり『処理』、『通過』させれば非保持ではない、という表現になっています。MO/TO加盟店が受けた紙の申込書を、PDFスキャンして自社で保存するならば非保持でいいのですが、このPDFデータを、委託先のサービスプロバイダーへメール添付などで送信すれば、加盟店は非保持にはならず、PCI DSS準拠が求められることになります。
委託元のMO/TO加盟店が、カード情報をPSPへ送信する処理をサービスプロバイダーへ委託するのであれば、紙の申込書は紙のままで委託先へ渡さなければ、非保持とは認められないことになります。紙情報のスキャン画像なら、何をしてもよいという意味ではないのです。
さらによく考えると、まだ問題点はあります。紙をスキャンする汎用機は、多くの企業においてスタンドアローンでスキャンPDFデータを保存していることはないでしょう。一般的には社内ネットワークに接続されていて、PDFデータは担当者のPCへ社内ネットワークを通じて送信されます。そしてその担当者は、また社内ネットワークを利用して社内の共有サーバーなどへ送信して、保存するでしょう。
実行計画2018に、「社内ネットワーク内におけるデータ送信は非保持と認める」などの記述はありませんから、こうしたMO/TO加盟店は結局PCI DSS準拠が必要、という解釈にもなります。
PCI DSSの観点で言えば、社内ネットワークの脆弱性をチェックして、マルウェアの侵入を監視するセキュリティを整備していないと、画像スキャンしたPDFデータも盗まれてしまう危険は大きいのです。
「画像スキャンのPDFなら非保持とみなしてよい」の一節だけで安心するのでなく、実行計画が掲げているように、「非保持化を実現した場合でも、必要なセキュリティ対策が求められる(P11)」にも充分な対応が必要なのです。
(原稿ご提供:日本オフィス・システム㈱ 情報セキュリティ担当森大吾氏)
セキュリティソリューションプロダクトマネージャー OEMメーカーの海外営業として10年間勤務の後、2001年三和コムテックに入社。
新規事業(WEBセキュリティ ビジネス)のきっかけとなる、自動脆弱性診断サービスを立ち上げ(2004年)から一環して、営業・企画面にて参画。 2009年に他の3社と中心になり、たち上げたJCDSC(日本カードセキュリティ協議会 / 会員企業422社)にて運営委員(現在,運営委員長)として活動。PCIDSSや非保持に関するソリューションやベンダー、また関連の審査やコンサル、などの情報に明るく、要件に応じて、弊社コンサルティングサービスにも参加。2021年4月より、業界誌(月刊消費者信用)にてコラム「セキュリティ考現学」を寄稿中。
- トピックス:
- セキュリティ
