加盟店は“実行計画”が認める非保持化を実現しても、従業員教育やウィルス対策、デバイス管理等の継続的なセキュリティ対策が求められるとしています。しかし「非保持化を達成すれば、PCI DSSまでは求められない」のフレーズが定着しており、こうした対策まで点検できていない加盟店が多く見られます。
いっぽうアクワイアラーや主要PSPが、法令に基づいて今年11月までに経産省への登録申請を完了させると、来年からの加盟店調査ではセキュリティ対策の詳しい内容を問われることになります。どのような対策が必要になるのか、最新の業界動向に基づいて考察します。

13：10　受付開始

13：30　オープニングとイントロ

2019年から厳しくなる加盟店調査の動向

改正割賦販売法により、加盟店契約業務を行うアクワイアラーと、PSPが加盟店との契約において、アクワイアラーから実質的な最終決定権限を任されて、加盟店管理を行う場合には、経済産業省への登録が必要です。
申請の要件の中で、加盟店管理については加盟店調査の具体的な要項の作成が必要で、登録の必要な企業は、いまこの作業に取り組んでいます。来年からは加盟店に対してどのような調査が行われることになるのか、カード会社各社の動向も踏まえて説明します。

講師：JCDSC事務局

森 大吾 (日本オフィス・システム株式会社)

14：10 〜 15：00

非保持化達成、PCI DSS準拠後に有効なカード情報保護対策

実行計画には、ECやMOTO加盟店向けの非保持化対策ソリューションが定められています。しかし、ソリューションを導入してカード情報保護対策を完了したと思い込み、その後の対策を怠ると悪意ある攻撃などによりカード情報が流失してしまう可能性があります。
またPCI DSS準拠を完了した加盟店やサービスプロバイダーも、セキュリティ維持のためには継続的な運用が必要です。非対面加盟店やサービスプロバイダーの準拠期限（2018年3月）から半年が経過しました。
本セミナーでは実際に発生したインシデントの事例を交えながら、非保持化やPCI DSSの準拠後も必要となる、継続的なセキュリティ対策について解説します。

講師：fjコンサルティング株式会社

代表取締役CEO　瀬田 陽介 (ユーザー部会代表)

15：10 〜 15：50

非保持化しても必要なアプリケーションの脆弱性対策とは

犯罪者たちはどのような視点で脆弱性を狙い、どのような手口で機密情報を盗み出していくのか、カード情報の非保持化をしていても、どうやってカード情報を収集するのか、彼らは日夜研究して新たな手法を編み出しています。どのような対策をすればよいのか、Webアプリケーション脆弱性診断や教育などの知見から、QSAの視点も絡めて解説します。

講師：株式会社ユービーセキュア

テクニカルコンサルティング部　部長　矢野 淳

15：50 〜 16：40

最近のカード情報漏えい事件を読み解く

最近のサイバー攻撃は高度化の一途をたどっており、攻撃トレンドを把握する事は加盟店を含む全ての関係者にも重要になりつつあります。国内外のインシデント事例からの気づきや、カード情報を非保持化したとしても注意が必要なポイントについて説明します。

講師：大日本印刷株式会社

セキュリティソリューション本部　課長　佐藤 俊介

【非保持化Q&A】

さらにこのセッションでは、非保持化について、皆さまの関心の高いご質問や、誤った認識が出回っているものをピックアッブして、この日の講師陣により解説します。下記はその一例です。

・実行計画の対応期限に間に合わない場合の罰則や免除のルールは、文章化・公表されたものがあるのか。

・対面加盟店の非保持化期限は2020年3月とされているが、改正割賦販売法は今年の6月から施行されている。「法令違反状態」と言われないか。

・スキャンした画像PDFを自社で保存しているが、契約しているクラウドベンダーのストレージには「伝送」することになる。非保持と認められるか。

・実行計画2018には、電話自動応答(IVR)の記述が見当たらない。非保持対応と認めてもらえるのか。

・無効処理されたカードはカード情報ではないという認識だが、その番号が復活しないことを、カード会社に確認しなくて大丈夫か。

など。

16:40　終了