紙情報はPCI DSSの対象から除外してよいか

「実行計画2017」には、「紙媒体のまま保存する場合は非保持となる。(P14)」と書かれています。

通販の申込みはがきやFAXに、クレジットカード番号が記入されていても、紙のままで保存するのであれば、カード情報非保持と認められます。
ところが、この事業者がPCI DSSに準拠しようとして、QSAの審査やSAQで対応する場合、「実行計画で、紙の保存は非保持としてよいことになっているから、この紙媒体は審査の対象から除外してよい」と考えるのは誤りになるので、注意が必要です。

PCI DSSでは要件9で、「媒体とは、カード会員データを含むすべての紙および電子媒体のことです」と定めています。
紙の申込書に書かれたカード番号も、非保持でなく保護の対象にしなくてはいけないのです。

「日本では、PCI DSSよりも国の実行計画のルールが優先されるのではないのか」という意見はあるでしょう。
そのとおり、カード情報を紙媒体だけでしか扱わない事業者なら、PCI DSS準拠は求められないことになっています。

しかし、PCI DSSに準拠しようとするからには、PCI DSSの要件に従う必要があるのです。
ガソリンエンジンと電気モーターを併用して、状況に応じて使い分けるというハイブリッド車のような"いいとこ取り"の適用はしないということです。
カード情報非保持なのか、PCI DSS準拠なのか、その選択は明確にしなくてはなりません。
この点は、経産省と日本クレジット協会、JCDSCのQSA部会との情報交換の場で、確認されたことでもあります。

（原稿ご提供：日本オフィス・システム㈱情報セキュリティ担当森大吾氏）