• 協議会について
  • 日本カード情報セキュリティ協議会
  • 概要・ごあいさつ
  • 登録企業一覧
  • 会則
  • 入会案内
  • カード業界を取り巻く環境とセキュリティーの重要性
  • PCI DSS
  • グローバルセキュリティ基準PCI DSSとは
  • 概要
  • 認定取得のメリット
  • 認定取得について
  • 認定審査機関について
  • 導入が必要な企業
  • 企業一覧
  • PCI CSS準拠への参考資料集
  • 会員専用
  • サイトスポンサー
  • お問合せ
  • pcidss

今月のトピックス

Vol.3 PCI DSSへの準拠は義務か
----- 改正割賦販売法が求めるカード情報の安全管理スキーム -----

 クレジットカードを取り扱う加盟店企業から、よく「PCI DSS」に準拠するのは、義務なのかという声を聞きます。セキュリティへの投資は、義務でないとなかなか腰が上がらないものですが、改正割賦販売法により、クレジットカード情報の安全管理には、PCI DSSを導入しなければならない情勢になってきました。この法律がどのような組み立てで、PCI DSSというセキュリティ対策を要求しているのか、見ていきましょう。

●国際カードブランド各社と実施プログラム(下段の文字)


■義務でないと投資の決断をしにくいのがセキュリティ

 お客様から預かったクレジットカードの情報は、加盟店企業としてしっかりした安全管理をするのは当然と分かっていても、PCI DSSという基準に準拠しなければならないのか、となると別問題です。セキュリティを強化するには新たな投資も必要ですし、順守しなければならない法令やISOなどの基準はたくさんあり、すべてに投資するわけにもいきません。
 事業者としては、法律で定められたり、監督官庁からの指導があったり、といった義務が伴わないと、優先順位を下げざるを得ないというホンネも、また無理のないことでしょう。
 その観点で、2010年12月から全面施行された改正割賦販売法(割販法)が、クレジットカード情報の安全管理義務について、どのように定めてあるかを見ていきましょう。

■割販法にPCI DSSの文字はない

 この法律では第35条に、カード会社は経済産業省(経産省)令で定める基準に従って、クレジットカード番号等の適切な管理のために、必要な措置を講じなければならない旨が定められています。つまり法律の条文には、「PCI DSS」という文字が入っているわけではなく、具体的な基準は省令で定めることになっているのです。
 また、同じく第35条において、一般社団法人「認定割賦販売協会」を経産大臣が認定して、その機関がクレジットカード情報保護に関する具体的な規則を制定することも定められています。

 さて、この法律を受けた経産省の省令にも、カード情報保護の具体的な規則は定められませんでした。結局は経産大臣が認定する、(社)認定割賦販売協会が、細かな規則を策定する流れになりました。
 そしてクレジット業界では、(社)日本クレジット産業協会と、(社)全国信販協会等が合併して(社)日本クレジット協会になり、この一般社団法人を経産大臣が2009年12月1日付けで「認定割賦販売協会」と認定しました。つまり、割販法に基づく具体的なカード情報保護の基準は、(社)日本クレジット協会が策定することになったわけです。

■カード情報保護に関する改正割賦販売法の流れ



■2年以上の検討の末、PCI DSSに落ち着く

 そこで(社)日本クレジット協会としては、このセキュリティ基準をどう定めるか、協会内のインフラ整備部会で検討しました。この検討委員には主要カード会社はもちろん、大手の百貨店、量販店、通販企業なども参加し、座長には大学教授を据えて、2年以上検討を重ねました。
  日本においては、すでに情報セキュリティ基準のISMS認証を取得済みの企業も多い中で、さらにPCI DSSを義務づける必要があるのか、といった議論もありました。
 しかし同部会では、ISMS認証ではクレジットカードに特化した情報保護が充分ではないこと、VISAやマスターカードは世界中で流通しているので、日本だけがPCI DSSと別基準にすると、結局混乱を招いて得策ではない、といった理由で、日本でもPCI DSSを進める結論になりました。
 この答申を、(社)日本クレジット協会として機関決定したうえで2012年5月31日、同協会は大手加盟店80社を東京平河町のJA共済ホールに招き、「クレジットカードの情報保護基準は、日本においてもPCI DSSに置く」と公式に説明するセミナーを行いました。
 そして加盟店やカード会社は2017年度末(2018年3月末)までに、インターネット通販会社は2012年度末(2013年3月末)までに、というタイムスケジュールを含めて、PCI DSSへ準拠する実行計画書を配布したのです。
 同協会はまた同日に、ホームページにもその実行計画を公表しました。この文書は現在も次のURLから取り出すことができます。
http://www.j-credit.or.jp/info_management.html
 こうしたプロセスを踏んで、改正割賦販売法という法令に基づく、クレジットカード情報保護のセキュリティ基準は、PCI DSSということになりました。すべてのカード情報取扱い事業者は、コンプライアンスの一環としてPCI DSSに準拠することが求められるようになったのです。

■準拠未達だと罰則は

 とはいえ前述の実行計画では、インターネット通販会社は2012年度末までにPCI DSSの準拠が求められているのですが、ネット通販業界のPCI DSS準拠率は、まだまだ低いのが実態です。そもそも、その期限とされている2013年の3月末は、すでに過ぎています。
 では、この準拠期限を守れない企業に、罰則はあるのでしょうか。割販法では、クレジットカード情報を不正に取得したり、コピーして不正利用目的で保持したりした個人に対しては、懲役3年以下という刑事罰が適用されます。しかしPCI DSSに準拠していない法人に対する罰則は、規程がありません。
 この法律は、カード情報の安全管理については、カード会社に加盟店やサービス・プロバイダーの指導を行う責任を定めています。つまり加盟店に対する罰則を含めて、カード会社が責任を持つスキーム(枠組み)になっているのです。

■カード会社は加盟店契約を改定済み

 では、主なカード会社の加盟店規則を見てみましょう。たとえば
 @DC加盟店規約 (三菱UFJニコス株式会社)では、第28条「秘密情報の管理責任」の項で、

2. (中略)〜当社は加盟店に対して秘密情報の管理に必要な情報セキュリティ基準を別途指定することができ、この場合、加盟店は当社が指定した基準を遵守するものとします。

と定めています。割販法によって、どのようなセキュリティ基準が求められることになるか、PCI DSSがまだ具体的に浮上しない頃から、加盟店には決定したセキュリティ基準を順守していただきます、という規定になっているのです。

A三井住友VISA・マスターカードの加盟店規約では、第25条「クレジットカード番号等の管理」の項で、

3.当社は(中略)〜、他の加盟店でのカード番号等の漏洩等が発生した場合において類似の漏洩事故の発生を防止する必要がある場合、その他当社が必要と認める場合には、加盟店に対し、当該措置の改善の要求その他必要な措置・指導を行えるものとし、加盟店はこれに従うものとします。

という改定を2011年11月に行っていました。これは、割販法で緩いと言われている部分、つまり漏えい事故を発生させた加盟店への指導に重点が置かれているこの法律を、三井住友カード社では補完する趣旨で、まだ事故を発生させていない加盟店企業にも、安全管理を徹底してもらう責任を定めているのです。リスクを先取りし、念の入った組み立てといえます。
 さらに三井住友カード社では、第26条「委託の場合の個人情報等の取扱い」の項では、

1. 加盟店は(中略)〜、当社の事前の承認を得た上で、十分な個人情報の保護水準を満たしている委託先を選定し、(中略)〜契約を委託先と締結するものとします。

と定めています。インターネット通販業界では、クレジットカード決済を代行会社へ委託している企業が多いので、その決済代行会社がPCI DSSに準拠していることを確認する責任を、加盟店に求めているのです。
 BカードブランドでもあるJCBの加盟店規約は、2010年12月1日に改定しており、第28条「カードに関する情報等の機密保持」の項では、


2. 加盟店は前項の(クレジットカード)情報が第三者に漏洩することがないように、情報管理の制度、システムの整備、改善、社内規定の整備、従業員の教育等を含む安全管理に関する必要な一切の措置をとるものとします。

と定め、カード情報の安全管理のためには、組織的、人的な対策だけでなく、システムの整備という技術的な対策も整備する責任を、加盟店へ求めています。
 以上、3つの大手カード会社の加盟店規約を例に見たとおり、カード会社では、加盟店に対してカード情報の安全管理をどのように求めるべきか、割販法の改正に合わせて、すでに整備が行われていたのです。
 まとめると、カード情報の安全管理に関する割販法の組み立ては、以下のとおりとなります。

@ 具体的なセキュリティ基準は(社)日本クレジット協会が策定する。
A その基準は、PCI DSSである。
B 準拠させる責任はカード会社にあり、罰則は加盟店契約に基づく。


■カード情報の安全は国際的な責務

 2012年5月以前、PCI DSSはカードブランドという民間団体が制定したセキュリティ基準でしたが、(社)日本クレジット協会が日本における実行計画に定めた現在では、改正割販法が求めるセキュリティ基準に位置づけられました。PCI DSSに準拠することは、クレジットカード情報取扱い企業にとって、コンプライアンス上必須であると言えます。



インターネット社会には国境がない
漏えいされたクレジットカード情報は、瞬時に世界中で不正使用される。セキュリティ強化は、 国際社会に対する日本の責務でもある。
 
 おりしも、日本では2020年に東京オリンピックが開催される運びとなりました。海外から日本を訪れ、クレジットカードでショッピングをする人たちが、格段に増えると予想されます。
 治安の良さから逆に、「セキュリティ後進国」とも言われる日本ですが、安心して日本での観光を楽しんでもらえるよう、PCI DSSへ準拠することが、すべてのカード取扱い事業者に求められているのです。

文責:事務局/森 大吾(日本オフィス・システム株式会社)

  
  1. 外部のサイトへリンクします。
  • PマークとPCI DSS
  • ISMSとPCIDSS
  • 参考資料
  • 関連リンク