クレジットカードで商品やサービスを決済する会社は、業界団体が策定した「クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画2017(以下、実行計画)」を実務上の指針として、セキュリティ対策に関する義務を履行しなければいけない。第3回は、企業が実行計画に沿っていつまでに何をどのようにすればよいのかを解説する。

 対応完了期限は第1回で解説した通り、カード会社やPSP(決済代行会社)、EC(電子商取引)加盟店が2018年3月であり、対面加盟店は2020年3月までである。着手していなかったり検討段階だったりする企業は以下の6ステップで対応プロジェクトを進めると良いだろう。

検討の進め方

1.対象の洗い出し
 まず着手するのは対象の洗い出しだ。第2回で説明した内容を参考に、クレジットカードの国際セキュリティ基準である「PCI DSS(Payment Card Industry Data Security Standard)」準拠のスコープ(対象)となるシステムや拠点を調べて確定する。

 ここでいう拠点とはデータセンターはもちろん、オフィススペースも含む。システムを保守するためにシステム開発会社がリモートアクセスするのであれば、システム開発会社の開発者が働く建物も含む。一般に対象は広範囲にわたるため、漏れが出ないよう注意したい。

 洗い出しに当たっては、情報システム部門だけでなく、ネット販売やデジタル関連、店舗関連の部門も巻き込むとよい。通常、システム一覧表や業務一覧表を基に作業に取り組むが、そうした台帳がない場合は各担当者にヒアリングして、台帳の整備から着手する。

2.方針の検討
 次は社内でのカード情報の利用状況を確認し、対応方針を「PCI DSS準拠」か「非保持化」かどちらにするかを検討する。メリットとデメリットは表に示す通りだが、重要な判断材料は「カード情報を用いた業務やサービスが自社の価値を高めているか」「他社との差別化要素になっているか」である。

非保持化PCI DSS準拠
メリットカード情報を自社環境に持たないため、自社からのカード情報の漏洩リスクが0既存の業務への影響が少ない可能性がある
デメリット運用を変える必要がある(カード番号を使った業務が付加価値となっているような場合は注意が必要)運用コストが大きい

 これを機に決済業務の運用を決済代行会社に委託するように変更する場合、影響が大きい。現時点の運用と決済代行会社に委託する場合とで何が変わるかを注意して確認したい。

この先は会員の登録が必要です。有料会員(月額プラン)は申し込み初月無料!

日経 xTECHには有料記事(有料会員向けまたは定期購読者向け)、無料記事(登録会員向け)、フリー記事(誰でも閲覧可能)があります。有料記事でも、登録会員向け配信期間は登録会員への登録が必要な場合があります。有料会員と登録会員に関するFAQはこちら