PA-DSSの対象

PA-DSSが対象とする「ペイメントアプリケーション」は、カード会員データをオーソリや決済の一部として保存、処理または送信するアプリケーションで、第三者に販売、配布、ライセンス提供されるものを指す。「第三者に~」と対象が限定されているのは、特定のユーザー向けに開発されたカスタムアプリケーションは、そのユーザーのPCI DSSの範囲で評価すればよいためだ。

PA-DSSの対象となる代表的なものとしては、対面取引ではPOS端末や決済端末に内蔵される決済アプリケーション、非対面取引ではショッピングカート、そのほかに決済センター接続パッケージなどがある。カードリーダーを接続したスマートフォンやタブレットをPOSレジとして使用できるようにするmPOS(モバイルPOS)のアプリケーションについては、モバイルデバイス固有のリスクがあるためPA-DSSの対象外となっている。mPOSを使用する場合は、P2PE(Point-to-Point Encryption)ソリューションを使って、モバイルデバイスに平文のカード会員データを通過させないことが推奨されている。

PA-DSSの普及状況

PA-DSSに準拠して認定されたアプリケーションは、PCI SSCが管理するWebサイト上のリストに掲載される。2016年12月現在で有効なアプリケーションは約500あり、有効期限を過ぎたものを含めると、4,000以上が登録されている。PA-DSSが普及している海外では、アクワイアラが加盟店に対してPCI SSCのリストに登録されたアプリケーションを使うよう指導したり、決済サービスプロバイダが決済端末ベンダーに対してPA-DSS準拠の要請をしたりすることが一般的になっている。一方、日本国内では、わずかなPOSベンダー、ATMベンダーの一部の製品がPA-DSSの認定リストに登録されているという状況だ。

PA-DSSの今後の展望

「実行計画」では、「POS システムの PCI DSS 準拠のために、PA-DSS準拠製品の使用が望ましい」とされている。非保持を実現できないPOS加盟店はPCI DSS準拠が必要となるため、POSベンダーに対してPCI DSSに対応できる製品やPA-DSS準拠製品を求める声が増えてくるだろう。また、POSベンダーの立場で考えると、加盟店からPCI DSS準拠に関する問い合わせが増えている状況があり、この対応をPA-DSS準拠製品の提供によって集約できるメリットがあることから、日本国内でも今後普及が進むことが予想される。

P2PEとは

P2PE(Point-to-Point Encryption)は、加盟店のPOIデバイス(Point of Interactionの略でカードからデータを読み取る装置を指す)で読み取ったカード情報を直ちに暗号化し、送信先の安全な復号環境へ到達するまでカード情報を保護する、二拠点間の暗号化方式である(図1)。POIデバイスの提供から復号環境の運営まで含んだ全体をP2PEソリューションと呼ぶ。P2PEで暗号化されたカード情報は、加盟店の従業員はもちろんPOS端末も復号することができないため、POSマルウェア情報漏えい対策や、「実行計画」の非保持を実現するソリューションとして注目されている。

図1: P2PE全体像

P2PEの普及状況

P2PEに準拠して認定されたソリューションは、PCI SSCが管理するWebサイト上のリストに掲載される。2016年12月現在で25のソリューションが登録されているが、この2倍以上のソリューションが審査中と言われており、今後も増加していくことが予想される。残念ながら、まだ日本国内で提供されているP2PEソリューションはない状況だが、カード情報の非保持を実現したい対面POS加盟店のニーズが拡大していることから、1~2年以内には登場することだろう。

加盟店がP2PEソリューションを利用するメリット

加盟店のPCI DSS対応においては、P2PE利用によるPCI DSSスコープの縮小が最大のメリットとなる。スコープの縮小には2つの側面がある。1つはシステム範囲の縮小だ。P2PEソリューションを利用することによって加盟店環境にカード会員データが保存されない構成となることから、PCI DSSの管理対象となるシステム範囲を縮小することが容易になる。もう1つは、対象となるPCI DSS要件の削減だ。原則としてPCI DSSは約400項目にわたるすべての要件について対象システムに適用されるか評価した上で、適用される要件について準拠状況を評価することになるが、P2PEを利用する場合は初めから対象となる要件が33項目に絞られており、この中で適用性と準拠状況を評価することになるため、対応にかかる労力は単純計算で10分の1以下に軽減できる可能性がある。

加盟店がP2PEソリューションを利用する際の注意点

対象となるPCI DSS要件を33項目へ削減するには一定の条件がある。具体的には「SAQ(Self-Assessment Questionnaire) P2PE」という様式を用いてPCI DSS準拠を自己問診することになるのだが、この様式を使用するには次の条件をすべて満たす必要があり、SAQの使用可否はアクワイアラが最終的に判断することになる。

1.すべての支払処理は、PCI SSCに承認され掲載された、認定済みPCI P2PEソリューションを経由している
2.加盟店環境でアカウントデータを保存、処理、送信するシステムは、PCIに掲載された認定済みのP2PEソリューションで使用を認められたPOIデバイスのみである
3.加盟店は、別の方法で電子的にカード会員データを受信または送信しない
4.加盟店は、過去の電子的なカード会員データが環境内に存在しないことを調査している
5.加盟店がカード会員データを保存する場合、そのデータは紙のレポートまたは紙のレシートのコピーであり、電子的に受信していない
6.加盟店は、P2PEソリューションプロバイダから提供されるP2PE取扱説明書(PIM)のすべてのコントロールを実装済みである

多くの加盟店にとって課題となるのは4つ目の項目ではないだろうか。税法上、7年間の帳簿保管義務により、カード会員データの含まれる電子ジャーナルを保管するケースがあるが、この場合、過去のデータを破棄することは適わないだろう。また、ポイントカードの会員管理にカード番号を使用しているケースや、クレジット機能付きのポイントカードをPOS端末に読ませたいケースでは2つ目の項目が課題となると思われる。

加盟店としては「SAQ P2PE」の条件を満たせるか検討し、満たせない場合にはP2PEソリューションの利用によってどの程度までPCI DSSのシステム範囲を縮小できるか検討することから始めるのがよいだろう。

「カード決済&セキュリティの強化書2017」

関連記事

ペイメントニュース最新情報

決済領域を起点に多様なビジネスニーズに応える各種ソリューションを提供(インフキュリオン)
ReD ShieldやSift等の不正検知サービスを提供し、お客様の不正対策を支援(スクデット)
「お金の流れを、もっと円(まる)く」決済ゲートウェイ事業のパイオニアとして、強固なシステムでキャッシュレス決済を次のステップへと推進します。(ネットスターズ)

国内最大級のクレジットカード情報データベース(アイティーナビ)

現金とキャッシュレスの売上をリアルタイムに確認可能なIoTプラットフォーム「IoT Cube」/Pay BOX(飛天ジャパン)

BtoCもBtoBも。クレジットカード決済を導入するならSBIグループのゼウスへ。豊富な実績と高セキュリティなシステムで貴社をサポートいたします。(ゼウス)
TOPPANの決済ソリューションをご紹介(TOPPANデジタル)
多様な業界のニーズに対応した、さまざまなキャッシュレス・決済関連サービスを提供する総合決済プロバイダー(DGフィナンシャルテクノロジー)
決済業務の完全自動化を実現する「Appian」とクレジット基幹プラットフォームを合わせてご紹介!(エクサ)

国内最大級の導入実績を誇る決済代行事業者(GMOペイメントゲートウェイ)

チャージバック保証、不正検知・認証システムなどクレジットカード不正対策ソリューションを提供(アクル)
電子マネー、クレジット、QRコード、共通ポイント、ハウスプリペイドなど、43サービスをご提供(トランザクション・メディア・ネットワークス)

非対面業界唯一!!カード会社とダイレクト接続により、安心・安全・スピーディーで質の高い決済インフラサービスを提供。Eコマースの健全な発展に貢献する決済代行事業者(ソニーペイメントサービス)

決済シーンにdelight(ワクワク感)を!PCI P2PE 認定国内実績 No.1の「確かな信頼」を提供します(ルミーズ)
stera terminalでお店のポイントがつけられる「VALUE GATE」(トリニティ)

Spayd スマートフォン、タブレットがクレジット決済端末に!(ネットムーブ)

DNPキャッシュレス 決済プラットフォームをご紹介(大日本印刷)

PAGE TOP