ブログ | 三和コムテック

スキャンPDFを委託先へ送信すれば非保持にならない!?

作成者: 三和コムテック|2018.03.13

2018/3/1に公表された「実行計画2018」において、クレジットカード情報が記載された紙を画像スキャンしたPDFデータを保存するのは「カード情報非保持としてよい」とされました。
これは実行計画2017においても、実は業界関係者版では非保持として認められていました。ところが公表版では保持とされているのと、関係者版では非保持としてよい、というルールはまったく真逆であり、関係者版を入手していない加盟店等からの問合せが、多数発生したようです。それで実行計画2018では、公表版でも非保持とする表現で統一されました。
以下の文章になっています。

P11の「2.加盟店におけるカード情報の非保持化の推進について」
実行計画で示す加盟店における「非保持化」とは、カード情報を保存する場合、それらの情報は紙のレポートやクレジット取引にかかる紙伝票、紙媒体をスキャンした画像データ等のみであり、電磁的に送受信しないこと、すなわち「自社で保有する機器・ネットワークにおいて「カード情報」を『保存』、『処理』、『通過』しないこと」をいう。

ここで注意しなければならないことがあります。
紙媒体をスキャンした画像データを、『保存』する場合に限って非保持とみなすと書かれています。つまり『処理』、『通過』させれば非保持ではない、という表現になっています。MO/TO加盟店が受けた紙の申込書を、PDFスキャンして自社で保存するならば非保持でいいのですが、このPDFデータを、委託先のサービスプロバイダーへメール添付などで送信すれば、加盟店は非保持にはならず、PCI DSS準拠が求められることになります。
委託元のMO/TO加盟店が、カード情報をPSPへ送信する処理をサービスプロバイダーへ委託するのであれば、紙の申込書は紙のままで委託先へ渡さなければ、非保持とは認められないことになります。紙情報のスキャン画像なら、何をしてもよいという意味ではないのです。

さらによく考えると、まだ問題点はあります。紙をスキャンする汎用機は、多くの企業においてスタンドアローンでスキャンPDFデータを保存していることはないでしょう。一般的には社内ネットワークに接続されていて、PDFデータは担当者のPCへ社内ネットワークを通じて送信されます。そしてその担当者は、また社内ネットワークを利用して社内の共有サーバーなどへ送信して、保存するでしょう。
実行計画2018に、「社内ネットワーク内におけるデータ送信は非保持と認める」などの記述はありませんから、こうしたMO/TO加盟店は結局PCI DSS準拠が必要、という解釈にもなります。
PCI DSSの観点で言えば、社内ネットワークの脆弱性をチェックして、マルウェアの侵入を監視するセキュリティを整備していないと、画像スキャンしたPDFデータも盗まれてしまう危険は大きいのです。
「画像スキャンのPDFなら非保持とみなしてよい」の一節だけで安心するのでなく、実行計画が掲げているように、「非保持化を実現した場合でも、必要なセキュリティ対策が求められる(P11)」にも充分な対応が必要なのです。

(原稿ご提供:日本オフィス・システム㈱ 情報セキュリティ担当森大吾氏)