「実行計画2017」の要旨
実行計画には大きく以下3つの方針があります。- クレジットカード情報の適切な保護
- クレジットカードの不正利用防止
- 消費者等への情報発信
- クレジットカード情報の非保持化の対応
- クレジットカード情報セキュリティの国際基準である PCI DSS への準拠
クレジットカード情報の非保持とは?
実行計画では以下のように定義されています。自社で保有する機器(サーバー)・ネットワークにおいてカード情報を「保存」「処理」「通過」しないこと以下「非保存」「非処理」「非通過」の3点を満たして「非保持」とされています。
非保存 | サーバーにカード情報を保存しないこと。 繰り返し利用のためにカード情報をサーバーに保存する機能などは削除・改修が必要です。 |
---|---|
非処理 | サーバー上でカード情報を処理しないこと。 データとして保存せずともプログラムの処理に乗せるため変数などに保持することも許されません。 |
非通過 | サーバー間ネットワークをカード情報が通過しないこと。 自社サーバーから決済サービスなど外部サーバーへ通信する時にカード情報を含めてはいけません。 |
まとめ
- ECサイトは2018年3月末まで「カード情報非保持化」への対応が必要
- 「非保存」「非処理」「非通過」の3点が満たされて「非保持」とされる
- 決済サービスは「カード情報非通過型」への乗り換えが必要
ECサイト運営者は開発会社や開発担当部署に相談のうえ対応を進めることが求められます。 当記事の執筆時点(2017年10月)ですでに半年を切っているため、ECサイトの構築や運営をされている方々には知れ渡っており対応も進められている方も多いかと思われます。「カード情報非保持化」は義務であって、未対応だと立ち入り捜査などペナルティがある取組のため、まだ具体的に進められていない方などはこれを機に対応を検討いただけたら幸いです。