日 本 におけるクレジットカード 情 報 管 理 強 化 に 向 けた 実 行 計 画 平 成 23 年 3 月 1. 背 景 クレジットカード 取 引 は 世 界 的 に 昨 今 ネット 取 引 の 拡 大 に 伴 いクレジットカード 決 済 の 機 会 も 増 加 するなど その 規 模 はますます 拡 大 傾 向 にある 我 が 国 でもクレジットカードの 1 年 間 の 新 規 信 用 供 与 額 は 約 44 兆 円 規 模 となり ネット 取 引 の 増 加 等 により その 規 模 は 拡 大 傾 向 を 維 持 している その 一 方 で 昨 今 クレジットカード 決 済 に 携 わる 事 業 者 のコンピュータなど からクレジットカード 番 号 等 のクレジットカード 取 引 情 報 の 漏 えいも 多 発 している 特 にイン ターネット 回 線 から 侵 入 し クレジットカード 情 報 等 経 済 価 値 の 高 い 情 報 を 窃 取 する SQL イン ジェクション 等 によるクレジットカード 情 報 流 出 およびそれに 伴 う 不 正 使 用 被 害 が 増 加 傾 向 にあるなど 特 にネット 加 盟 店 や 決 済 代 行 業 者 におけるクレジットカード 情 報 管 理 体 制 の 強 化 は 喫 緊 の 課 題 となっている また 海 外 に 目 を 転 ずれば 対 面 取 引 の 加 盟 店 や 決 済 代 行 業 者 でもクレジットカード 情 報 流 出 事 故 が 発 生 しているうえ 1 回 の 事 故 が 甚 大 な 規 模 の 流 出 と 不 正 使 用 被 害 をもたらす 事 例 も 多 く 確 認 されている 我 が 国 でも 依 然 としてクレジットカード 決 済 の 大 半 は 対 面 取 引 が 占 めており 潜 在 的 なリスクが 高 いことから ネットならびに 対 面 環 境 における 包 括 的 なクレジットカード 情 報 管 理 体 制 の 構 築 が 求 められている 我 が 国 では 平 成 22 年 12 月 に 改 正 割 賦 販 売 法 が 施 行 され クレジットカード 会 社 は クレ ジットカード 番 号 等 の 適 切 な 管 理 が 図 られるよう 加 盟 店 やその 委 託 先 に 対 する 指 導 その 他 の 措 置 を 講 ずることが 義 務 づけられた 更 に 国 際 ブランド 会 社 においては 5 ブランドが 加 盟 店 および 業 務 委 託 先 のクレジットカード 情 報 が 安 全 確 実 に 管 理 できるためのクレジットカー ドセキュリティの 国 際 統 一 基 準 ペイメントカード 産 業 データセキュリティ 基 準 (PCI DSS) を 策 定 し クレジットカードデータを 取 扱 う 加 盟 店 や 情 報 処 理 会 社 などにクレジットカード 契 約 会 社 を 通 じて PCI DSS の 対 応 を 求 めている そのような 状 況 を 踏 まえ ( 社 ) 日 本 クレジット 協 会 インフラ 整 備 部 会 では 経 済 産 業 省 と も 連 携 し 日 本 におけるクレジットカード 情 報 管 理 強 化 に 向 けた 実 行 計 画 を 策 定 し クレジ ットカード 情 報 の 管 理 強 化 に 取 り 組 むものとする 2. 目 的 国 際 クレジットカードネットワークにつながる 日 本 のクレジットカード 決 済 に 関 わる 全 ての 事 業 者 が 安 全 なクレジットカード 取 引 を 確 保 するために クレジットカード 決 済 に 携 わる 全 ての 関 係 者 が 統 一 的 な 考 え 方 を 構 築 し それぞれの 立 場 でクレジットカード 情 報 の 管 理 におい て 責 任 ある 対 応 を 行 うための 実 効 性 を 確 保 することを 目 的 に クレジットカードネットワーク 全 体 におけるクレジットカード 情 報 管 理 強 化 を 目 指 し 相 互 に 同 等 な 高 度 のセキュリティレベ ルを 確 保 する また 現 在 一 部 の 国 際 ブランドが 欧 米 諸 国 の 実 情 に 合 わせて 設 定 した 要 請 レベルや 対 応 期 間 は 必 ずしも 日 本 の 実 情 に 合 っていないことから 日 本 の 実 情 に 即 した 内 容 とスケジュールに よる 強 化 策 を 構 築 し 実 効 性 を 確 保 する 3. 実 行 計 画 の 前 提 国 際 的 なネット 取 引 の 拡 大 に 伴 い 国 際 的 にクレジットカード 情 報 を 取 扱 う 企 業 は 高 度 な セキュリティレベルを 構 築 することで 当 該 企 業 における 情 報 管 理 上 のリスク 回 避 を 行 うこと が 社 会 の 趨 勢 となっており PCI DSS 準 拠 が 国 際 的 な 基 準 とされている この 実 行 計 画 で は 我 が 国 においても 国 際 的 なクレジットカードネットワークに 参 加 する 一 員 として クレ ジットカード 情 報 管 理 強 化 の 基 準 を この 国 際 基 準 である PCI DSS を 前 提 に 策 定 している 1
4. 具 体 的 内 容 (1) 適 用 対 象 ( 各 対 象 とも 自 社 でクレジットカード 情 報 を 保 持 していることが 前 提 ) この 実 行 計 画 の 適 用 対 象 は 以 下 の 通 りとする 1クレジットカード 会 社 クレジットカード 情 報 を 保 有 している 全 てのクレジットカード 会 社 を 対 象 とする ただし 他 社 情 報 も 扱 うアクワイアラーや 他 社 の 情 報 処 理 を 受 託 しているプロセッシング 業 務 を 行 っている 企 業 は 情 報 漏 えい 等 が 発 生 した 場 合 被 害 の 規 模 も 相 当 程 度 が 予 想 されることか ら 高 度 なセキュリティ 対 策 が 求 められ 客 観 的 な 証 明 が 求 められると 考 えられる 一 方 で イシュイングのみであっても 発 行 枚 数 が 多 い 企 業 は アクワイアラーと 同 等 の 考 え 方 である が その 被 害 が 及 ぶ 範 囲 は 自 社 の 取 扱 に 限 定 されることから 準 拠 方 法 を 自 己 問 診 として いる さらに 規 模 の 小 さいイシュアーについては 自 社 リスクの 範 囲 で 対 応 可 能 と 判 断 し 他 社 のクレジットカード 情 報 を 一 切 保 有 しない 前 提 で PCI DSS 準 拠 の 対 象 外 という 考 え 方 を 整 理 した 2 加 盟 店 (およびその 委 託 先 ) ここでいう 加 盟 店 には 加 盟 店 がクレジットカード 決 済 に 係 る 業 務 を 受 託 する 場 合 や 加 盟 店 が 独 自 にクレジットカード 決 済 に 係 る 業 務 を 委 託 する 先 も 含 め 総 称 して 加 盟 店 という 非 対 面 /ネットの 場 合 現 状 でも 外 部 からのクレジットカード 情 報 窃 取 による 被 害 が 発 生 す るなど 最 優 先 対 象 と 考 えられる また 対 面 /POS については 一 般 に 大 量 のクレジットカ ード 情 報 を 取 扱 っており 情 報 漏 えい 等 が 発 生 した 場 合 被 害 の 規 模 も 相 当 程 度 が 予 想 され ることから 高 度 なセキュリティ 対 策 が 求 められる 一 方 で 対 面 /スタンドアローンの 場 合 ほとんどのケースは 専 門 店 等 の 形 式 で 信 用 照 会 端 末 のみでカード 決 済 しており クレジッ トカード 情 報 の 処 理 と 送 信 は 行 っているものの 一 般 的 にはクレジットカード 情 報 を 保 持 していないことなどを 考 慮 し クレジットカード 情 報 の 非 保 持 を 確 立 することに 主 眼 を 置 いて 整 理 した 3 決 済 代 行 事 業 者 主 たる 業 務 が 他 の 加 盟 店 に 代 わって クレジットカード 決 済 業 務 を 行 うものであること から 相 当 程 度 のクレジットカード 情 報 を 処 理 し 保 持 している 特 にネットの 場 合 は 情 報 漏 えい 等 が 発 生 した 場 合 被 害 の 規 模 も 相 当 程 度 が 予 想 されることから 高 度 なセキュリ ティ 対 策 が 求 められるが 対 面 であったとしても 様 々なクレジットカード 会 社 の 情 報 を 処 理 する 立 場 から クレジットカード 会 社 のアクワイアラー 等 と 同 等 の 対 応 が 必 要 不 可 欠 であ るとの 認 識 から その 対 象 を 区 別 することなく 全 ての 決 済 代 行 業 者 は PCI DSS 準 拠 を 求 め ることで 整 理 した (2) 取 引 形 態 等 この 実 行 計 画 の 適 用 対 象 のうち 複 数 の 取 引 形 態 が 想 定 される 加 盟 店 と クレジッ トカード 会 社 の 対 象 とする 取 引 形 態 を 以 下 の 通 りとする [ 加 盟 店 ] 1 非 対 面 /ネット 取 引 ネット 環 境 のみで 商 品 取 引 を 行 う 形 態 2 対 面 /POS 取 引 実 際 に 店 舗 等 で 顧 客 に 対 し 対 面 で 商 品 取 引 を 行 う 形 態 3 対 面 /スタンドアローン インプリンタのみでカード 会 員 データを 処 理 する 対 面 取 引 とスタンドアローンのダイヤルアップ 端 末 を 用 いてクレジ ットカード 会 員 データを 処 理 している 対 面 取 引 2
[クレジットカード 会 社 ] 1アクワイアラー(ACQ) 加 盟 店 契 約 会 社 2プロセッシング( 企 業 ) 決 済 業 務 や 事 務 処 理 等 (を 行 う 会 社 ) 3イシュイング(ISS) クレジットカード 発 行 会 社 (3) 適 用 レベルと 基 準 (レベルの 単 位 :レベルB Cの 決 済 代 行 業 者 / 加 盟 店 は 年 間 クレジッ トカード 売 上 件 数 クレジットカード 会 社 はクレジットカード 発 行 枚 数 ) [ 加 盟 店 ] 1レベル A : 基 準 4 ブランドの 基 準 により 選 定 1 2レベル B : 基 準 レベル A 以 外 ( 非 対 面 /ネット) 100 万 件 以 上 レベル A 以 外 ( 対 面 /POS) 2 3レベル C : 基 準 トランザクション 件 数 が 年 間 100 万 件 未 満 4レベルなし: 基 準 対 面 /スタンドアローンの 形 式 については 全 て 対 象 とする 1) アメリカン エキスプレス 250 万 件 以 上 JCB100 万 件 以 上 マスター ビザ 600 万 件 以 上 の 対 象 企 業 のうち 2 ブランド 以 上 の 基 準 に 該 当 した 企 業 を 4 ブランドにより 選 別 する なお これらの 基 準 は 既 に 各 国 際 ブランド 会 社 が 設 定 したレベルを 参 照 し 国 際 ブランド 会 社 の 定 めたルールとの 整 合 性 を 考 慮 した 2) いずれかの 国 際 ブランド 会 社 において トランザクション 件 数 が 年 間 100 万 件 以 上 を 指 す [クレジットカード 会 社 ] 1レベル A: 基 準 ACQ またはプロセッシング 業 務 を 行 っている 事 業 者 は 全 て 対 象 とする 2レベル B: 基 準 イシュイングのみで かつクレジットカード 発 行 枚 数 が 100 万 枚 以 上 の 事 業 者 を 対 象 とする 3レベル C: 基 準 イシュイングのみで かつクレジットカード 発 行 枚 数 が 100 万 枚 未 満 の 事 業 者 を 対 象 とする (4)クレジットカード 情 報 管 理 の 対 応 (PCI DSS 準 拠 対 応 ) 実 行 計 画 では クレジットカード 情 報 管 理 のための 基 準 を PCI DSS とし レベルに 応 じ た PCI DSS 準 拠 対 応 を 整 理 した 1PCI DSS 準 拠 PCI セキュリティ 基 準 審 議 会 (PCI SSC)が 定 めた PCI DSS の 要 件 に 完 全 準 拠 すること 2センシティブ 認 証 センシティブ 認 証 情 報 である 完 全 な 磁 気 ストライプデータやチップ 上 の 同 等 データ CAV2/CVC2/CVV2/CID PIN/PIN ブロックの 情 報 をオーソリゼーション 後 保 持 しない こと 3クレジットカード クレジットカード とは クレジットカード 情 報 の 保 存 全 てを PCI DSS に 準 拠 したサービスプロバイダー 等 に 委 託 していて 自 社 では 業 務 を 行 っていないことを 指 す ただし 単 純 に 情 報 を 処 理 したり 送 信 する 場 合 で 保 存 しない 場 合 は 保 持 に 該 当 しない クレジットカード のみでは PCI DSS 準 拠 にはならないが PCI DSS 準 拠 のサービスプロバイダーに 保 存 を 委 託 すれば 残 存 リスクを 相 当 程 度 縮 小 す ることが 可 能 であり また 一 般 に PCI DSS 準 拠 よりも 低 コストで 実 現 できる 従 って クレジットカード 取 引 件 数 が 少 ない 形 態 に 限 り 本 方 式 を 実 行 計 画 に 組 み 込 むことに より 実 効 性 の 確 保 を 図 る 3
(5)PCI DSS 準 拠 等 に 関 する 検 証 方 法 1オンサイトレビュー(レベルAに 適 用 ) 認 証 セキュリティ 評 価 機 関 (QSA)による 訪 問 審 査 加 盟 店 やサービスプロバイダーへのイ ンタビューやドキュメント 確 認 サーバーの 実 機 確 認 など オンサイトにて 監 査 を 実 施 2 自 己 問 診 (レベルBに 適 用 ) WEB サーバのセキュリティ 診 断 アプリケーション ネットワークのペネトレーションテ ストなど 国 際 ブランド 会 社 等 がHP 上 で 公 開 している 問 診 票 の 質 問 項 目 についてチェッ クし 全 ての 項 目 を 対 応 済 とするまで 繰 り 返 し 実 施 3ネットワークスキャン(レベルA Bに 適 用 ) 脆 弱 性 スキャニングベンダー(ASV)による PCI DSS の 脆 弱 性 スキャニングテストの 実 施 (6) 適 用 対 象 毎 の 対 応 期 限 各 適 用 対 象 取 引 形 態 ごとの 対 応 期 限 と 期 限 設 定 の 考 え 方 については 以 下 の 通 りとする 対 象 形 態 レベル PCI DSS 対 応 期 限 期 限 設 定 理 由 準 拠 対 応 決 済 代 行 業 者 形 態 問 わず 全 て - PCI DSS 準 拠 2013 年 3 月 迄 ネット 取 引 の 決 済 代 行 業 者 は 責 任 も 重 大 で 且 つリスクが 高 いことから 早 期 に 対 応 が 必 要 であ ること また 大 手 同 業 者 の 大 半 準 拠 済 みである ことから 準 拠 が 比 較 的 容 易 で 早 期 対 応 が 可 能 と 判 断 加 盟 店 非 対 面 /ネット A センシティブ 認 証 2012 年 9 月 迄 国 際 ブランド 会 社 では PCIDSS 準 拠 以 前 に セ ンシティブ 認 証 情 報 を 保 持 することが 禁 止 され ている また セキュリティーコードが 漏 洩 し た 場 合 の 影 響 の 大 きさを 考 慮 加 盟 店 非 対 面 /ネット A PCI DSS 準 拠 2013 年 3 月 迄 ネット 分 野 における 情 報 漏 洩 事 案 が 多 いことか ら 他 の 形 態 (POS スタント アローン 等 )に 比 べ 早 期 対 応 が 求 められるが 自 社 での PCI DSS 準 拠 ま たは 決 済 代 行 業 者 などへの 業 務 委 託 等 の 対 応 期 間 を 考 慮 加 盟 店 対 面 /POS A センシティブ 認 証 2013 年 3 月 迄 国 際 ブランド 会 社 では PCI DSS 準 拠 以 前 に センシティブ 認 証 情 報 を 保 持 することが 禁 止 さ れており 特 にフルトラックデータが 漏 洩 した 場 合 の 被 害 の 大 きさを 考 慮 但 し 委 託 先 ( 決 済 代 行 業 者 ASP 等 )が 対 応 する 期 間 を 考 慮 加 盟 店 対 面 /POS A PCI DSS 準 拠 2018 年 3 月 迄 加 盟 店 自 らが PCI DSS に 準 拠 すること POS シ ステム 改 修 ( 例 えば センターサーバ 化 クラ ウド 化 等 ) POS 入 替 え 期 間 等 を 考 慮 加 盟 店 非 対 面 /ネット B センシティブ 認 証 2012 年 9 月 迄 国 際 ブランド 会 社 では PCIDSS 準 拠 以 前 に セ ンシティブ 認 証 情 報 を 保 持 することが 禁 止 され ている また セキュリティーコードが 漏 洩 し た 場 合 の 影 響 の 大 きさを 考 慮 加 盟 店 非 対 面 /ネット B PCI DSS 準 拠 または クレジットカード 2013 年 3 月 迄 ネット 分 野 における 情 報 漏 洩 事 案 が 多 いことか ら 他 の 形 態 (POS スタント アローン 等 )に 比 べ 早 期 対 応 が 求 められるが 自 社 での PCIDSS 準 拠 また は 決 済 代 行 業 者 などへの 業 務 委 託 等 の 対 応 期 間 を 考 慮 4
加 盟 店 対 面 /POS B センシティブ 認 証 加 盟 店 対 面 /POS B PCI DSS 準 拠 または クレジットカード 加 盟 店 対 面 /POS C PCI DSS 準 拠 または クレジットカード 加 盟 店 対 面 /スタンド - クレジットカード アローン 2013 年 3 月 迄 国 際 ブランド 会 社 では PCI DSS 準 拠 以 前 に センシティブ 認 証 情 報 を 保 持 することが 禁 止 さ れており 特 にフルトラックデータが 保 持 され ていることによる 情 報 漏 洩 時 の 影 響 が 大 きいこ とを 考 慮 但 し POS システムの 対 応 等 を 行 う 期 間 を 考 慮 2018 年 3 月 迄 加 盟 店 自 らが PCI DSS に 準 拠 すること POS シ ステム 改 修 ( 例 えば センターサーバ 化 クラ ウド 化 等 ) POS 入 替 え 期 間 等 を 考 慮 2018 年 3 月 迄 PCI DSS 未 準 拠 の 委 託 先 による 準 拠 対 応 PCI DSS 準 拠 先 への 委 託 先 変 更 のための 期 間 を 考 慮 2013 年 3 月 迄 PCI DSS 未 準 拠 の 委 託 先 による 準 拠 対 応 PCI DSS 準 拠 先 への 委 託 先 変 更 のための 期 間 を 考 慮 クレジット カード 会 社 クレジット カード 会 社 クレジット カード 会 社 ACQ /プロセッサー イシュイング のみ イシュイング のみ A PCI DSS 準 拠 2018 年 3 月 迄 自 社 クレジットカードのみならずアクアリング 業 者 において 広 く 他 社 のクレジットカード 情 報 も 保 持 しており 責 任 も 重 大 で 且 つリスクも 高 いことを 考 慮 対 象 となる 全 てのクレジット カード 会 社 において PCI DSS 準 拠 の 為 の 期 間 を 考 慮 B PCI DSS 準 拠 2018 年 3 月 迄 自 社 クレジットカードの 情 報 のみの 取 扱 いであ ることから 自 己 リスクの 範 疇 であること 並 びに 自 ら PCI DSS 準 拠 の 為 企 業 規 模 等 と 期 間 を 考 慮 C 他 社 クレジットカ 2018 年 3 月 迄 自 社 クレジットカードのみの 取 扱 いであること ード から 自 己 リスクの 範 疇 であること また 保 有 情 報 が 少 ないこと 及 びシステム 改 修 等 も 期 間 を 考 慮 (7) 日 本 におけるクレジットカード 情 報 管 理 スキーム 別 添 参 照 以 上 5