通販などの加盟店は、電話で注文を受けるコールセンター業務や、はがき・FAXで受けた申込み客のカード情報を決済代行会社(PSP)へ送信する業務を、多くは外部のサービスプロバイダーへ委託して商売をしています。
「実行計画」の要請により、加盟店がカード情報非保持をめざす場合、カード情報を実際に処理する、委託先のサービスプロバイダーに対して、どこまでのセキュリティを要求すればよいのか、そのガイドラインが明確でなかったことから、いろいろな解釈が飛び交っています。
昨年の「実行計画2017」では、
各主体がカード情報を取り扱う業務を外部委託する場合は、委託者自身が委託先のセキュリティ状況を確認し、責任を持ってPCI DSS準拠等の必要な対策を求めていくこととする。(P20) と記述されていました。
問題は、PCI DSS準拠「等」として、PCI DSSに限定していないことでした。PSP各社も加盟店から質問を受けて大いに困ったといいます。中小の通販加盟店企業では、セキュリティの知識を充分に持つスタッフは少ないのが実態です。サービスプロバイダーから「当社はISMSの認証を取得していますからだいじょうぶです」と言われたら、それで納得してしまう加盟店も多いでしょう。
そして「実行計画2018」では、そのガイドを次のとおり改訂しています。
6.各主体の役割について (P20)
各主体がカード情報を取り扱う業務を外部委託する場合は、委託者自身が委託先のセキュリティ状況を確認し、責任を持って PCI DSS 準拠等の必要な対策を求めていくこととする。
また、複数の委託者からカード情報を取り扱う業務を受託する又はショッピングカート機能等のシステムを提供する事業者は、自社システムにおけるカード情報の保持状況について確認の上、PCI DSS 準拠等の必要な対策を行うことが求められる。
しかしここでも、PCI DSS「等」の表現は変わっていないので、ISMSでもよいのか、との疑問は消えていません。この点について、実行計画の事務局である日本クレジット協会(JCA)では、次のように説明しています。
PCI DSSを例示としてあげているのですから、PCI DSSと同等レベルのセキュリティであることが、解釈として相当です。ではPCI DSS以外に同等レベルの基準とは何か、ということは具体的に示していませんが、カード情報の安全な管理に必要なレベルであるかを、個別に検討していただくことになります。
また、「実行計画2018」では、PCI P2PE認定ソリューションの導入又は本協議会において取りまとめた技術要件に適合するセキュリティ基準(11項目)を満たすことにより、非保持と同等/相当のセキュリティ措置を実現することが可能となる(この場合には、PCI DSS 準拠までは求めないこととする。)(P15)と示しました。こうした対策はPCI DSSに相当する「等」と理解してよいでしょう。
といった説明です。この点は経産省商取引監督課と協議した結果と思われ、妥当な見解と言えるでしょう。ただしこの11項目の技術要件は、実行計画2018の公表版には具体的に書かれていません。関係業界やカード会社に配付されている資料なので、加盟店はそれぞれ契約しているカード会社へ問い合わせて、入手する必要があるのが難点です。
また、加盟店から委託を受けているサービスプロバイダーこそ、この資料の必要性が高い業界なのですが、サービスプロバイダーはPSPやカード会社と直接に契約している立場ではないため、加盟店経由で入手しなくてはならないプロセスも、気の毒です。
そしてこの説明は、まだガイドラインなどに文書化されていません。早く明確にしてもらいたいところです。
(原稿ご提供:日本オフィス・システム㈱ 情報セキュリティ担当森大吾氏)
- トピックス:
- セキュリティ