紙情報はPCI DSSの対象から除外してよいか

2023.05.08 岡山大

「実行計画2017」には、「紙媒体のまま保存する場合は非保持となる。(P14)」と書かれています。

通販の申込みはがきやFAXに、クレジットカード番号が記入されていても、紙のままで保存するのであれば、カード情報非保持と認められます。
ところが、この事業者がPCI DSSに準拠しようとして、QSAの審査やSAQで対応する場合、「実行計画で、紙の保存は非保持としてよいことになっているから、この紙媒体は審査の対象から除外してよい」と考えるのは誤りになるので、注意が必要です。

PCI DSSでは要件9で、「媒体とは、カード会員データを含むすべての紙および電子媒体のことです」と定めています。
紙の申込書に書かれたカード番号も、非保持でなく保護の対象にしなくてはいけないのです。

「日本では、PCI DSSよりも国の実行計画のルールが優先されるのではないのか」という意見はあるでしょう。
そのとおり、カード情報を紙媒体だけでしか扱わない事業者なら、PCI DSS準拠は求められないことになっています。

しかし、PCI DSSに準拠しようとするからには、PCI DSSの要件に従う必要があるのです。
ガソリンエンジンと電気モーターを併用して、状況に応じて使い分けるというハイブリッド車のような"いいとこ取り"の適用はしないということです。
カード情報非保持なのか、PCI DSS準拠なのか、その選択は明確にしなくてはなりません。
この点は、経産省と日本クレジット協会、JCDSCのQSA部会との情報交換の場で、確認されたことでもあります。

（原稿ご提供：日本オフィス・システム㈱情報セキュリティ担当森大吾氏）

この記事の執筆・監修者

岡山大

三和コムテック株式会社
セキュリティソリューションプロダクトマネージャー OEMメーカーの海外営業として１０年間勤務の後、2001年三和コムテックに入社。
新規事業（WEBセキュリティビジネス）のきっかけとなる、自動脆弱性診断サービスを立ち上げ（2004年）から一環して、営業・企画面にて参画。 2009年に他の３社と中心になり、たち上げたJCDSC（日本カードセキュリティ協議会 / 会員企業422社）にて運営委員（現在,運営委員長）として活動。PCIDSSや非保持に関するソリューションやベンダー、また関連の審査やコンサル、などの情報に明るく、要件に応じて、弊社コンサルティングサービスにも参加。2021年4月より、業界誌（月刊消費者信用）にてコラム「セキュリティ考現学」を寄稿中。

→ 岡山大の他の記事を読む