PCI DSS準拠の盲点『Excel』『音声』『紙の申込書』への対応  「SBC型業務環境サービス(PCI DSS準拠)」「IVR決済サービス」を提供(上)

2017年5月24日7:00

■株式会社エクシード

PCI DSSは、業務システムだけでなく、Excel管理のリストやFaxの申込書、保存した電話申込みの音声など、カード情報が保存されていれば、担当者のPCにまで審査対象は及びます。株式会社エクシードの「SBC型業務環境サービス(PCI DSS準拠)」および、HOYAサービス株式会社と提供する「IVR決済サービス」では、こういった見過ごされがちで、かつ高額な投資が難しい課題に対し、投資負担を抑えながら、対応することが可能です。

PCI DSS準拠において見落としがちなケースとは?

エクシードは2006年に設立された会社で、ネットワンシステム株式会社の100%の子会社です。認証資格はISMSとPCI DSSに2010年から適合しています。

エクシード ビジネス推進本部 セキュリティグループ PCI DSSコンサルタント 松原 史典氏

まず、PCI DSS準拠は、カード会員情報を保存、処理、伝送する場合に必要となります。保存というとイメージが湧きやすいと思いますが、知らない間にカード内情報が処理されていたり、自社のシステムを通過したりしているといったケースでもPCI DSSの準拠が必要になってきます。そのため、自社の中のカード会員情報がどういったかたちでどこを流れているのかをすべて洗い出すのが最初のステップになります。

次に具体的な範囲や対応として、カード会員情報を取り扱うすべての物理的・論理的情報資産とその設置環境をPCI DSSに準拠させる必要があります。さらに準拠させるだけではなく、それを継続的に維持していかなければいけません。データ、アプリケーション、サーバ、ネットワーク、ファシリティといったレイヤーに対して、すべて対応が必要になってきます。たとえば、ECサイトで物品を購入するケースを想定すると、データベースやネットワーク、サーバ類が設置されている物理的なデータセンターまで含めて、すべてPCI DSSの対応をする必要があります。

PCI DSS準拠というと、WEBアプリケーションやデータベース、専用システムや基盤がメインになると思われますが、例えば紙やExcelファイルなどでカード会員情報を取り扱って業務を行っているケースも見受けられます。また、通話の音声データにカード会員情報が含まれており、PCI DSSとの関係の中で、どのように取り扱っていったらいいかという悩みを持たれているお客様がかなり多いことが見えてきました。2017年3月8日に発表された「クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画2017」でも、テレフォンオーダー等の非対面の加盟店についての説明がされていましたが、具体的な対応方法が細かく記載されていませんので、具体例を交えて説明します。

ユースケース1は、カード会員情報が記載された紙媒体、帳票を取り扱うケースで、クレジットカードの新規申込書が該当します。ただし、新規申込書については顧客がこれに記載する段階ではまだカード番号が発行されていないので、申込書をカード発行会社で受領して、申込書に記載されている情報とカード会社で振り分けるカード番号が紐付けられた段階でPCI DSSの対象になります。2つめは、電気、ガス、水道などのクレジットカードによる公共料金等の支払い申込書です。最後はクレジットカードの変更、解約申請書類にカード情報が記載されているというものです。

ユースケース2は、カード会員情報が記載されたPDFファイルです。申込書類をPDF化して保存しているケースがあり、その場合にPDFファイルをどのように扱うかという問題が出てきます。

ユースケース3は、カード会員情報が記載されたExcel等のいわゆるMicrosoft Office系ソフトウェアデータを取り扱うケースです。多いのが二次発行会社において発行したカード会員情報をExcelで顧客台帳にまとめて管理しているケースです。また、決済が毎月行われる中、そこで決済できなかった顧客については回収する責任が二次発行会社にありますが、その情報が一次発行会社から毎月、決済の状況を踏まえて二次発行会社に通知されて、その情報を元に二次発行会社で例えばExcelでリスト化して、回収業務に使用するケースです。3つめは、自分のPCでExcelファイルを作るだけではなく、部門の関係者がアクセスできる共有フォルダに顧客台帳などをマスタとして保管して、関係社員がアクセスして閲覧したり、更新をかけていくという業務を行ったりするケースです。

ユースケース4は、いわゆる音声データの取り扱いケースです。典型的なものとしては、テレビショッピングで物品を購入した際に、コールセンターでカード番号を含む通話記録を録音してデータとして保存しているケースです。2つめが保険料の初回の支払方法としてカード払いを選択して、保険会社のコールセンターで被保険者のカード番号の聞き取りを行うというものです。外回りの営業のパソコンや専用端末のすべてをPCI DSS準拠させるには、数も膨大で多大なコストがかかるので、コールセンターでカード番号を一括して聞き取っているのが実情となっています。

ここまでのケースを考える上でのポイントとしては、PCI DSSの要件上、カード会員情報の取扱量や取扱方法などによって区別されていないというのが1つめのポイントです。専用システムで業務されている場合はPCI DSSの意識が高いのですが、Excelファイルや紙媒体で管理していると、PCI DSSを認知されていないケースが多いようです。そういった取扱方法であっても、カード会員情報がそこに存在するのであれば、例えExcelファイル1つであっても該当するPCI DSS要件はすべてクリアする必要があります。

2つめのポイントは、業務そのものが複雑で手間がかかるようなものであれば投資をしてシステム化することも考えますが、先ほど例示したケースは比較的シンプルな業務が多く、言い換えれば紙での管理、Excelでの管理は業務のやり方として適していると言えます。その状況の中で多額の投資をして、新しくシステムを作るかというとなかなか難しい現状があります。実際、紙というフローを残さざるを得ない状況も少なからずあります。そういった状況の中でPCI DSSをクリアするには何かしらの対策を打たなければいけないということです。

見落としがちなケースへの対応方法

PCI DSS上、具体的にどのような要件を満たし、どのような対策をしなければいけないかを例示します。まず紙媒体の対策ですが、施錠できるロッカー等に入れて管理することです。ロッカーだけではなく、情報が置いてある拠点そのものの入退室の管理も必要です。紙媒体で管理することについてリスクアセスメントをして、対応計画を策定し、それを回していくことも必要になります。さらに、細かな取り扱いですが、必要な時だけ出しましょうとか、郵便で送る時も書留など、確認できるような手段でやりとりしましょうということが定められています。

業務上、原本を使うとかなり手間がかかって業務の効率化を妨げることもあるので、弊社としてはできるだけ電子化して、原本は極力触らずに置いておくだけにする対応がよいと考えています。なお、「実行計画2017」で、加盟店では紙媒体は非保持化扱いしてもよいということが出ています。ただ、二次発行会社などはその対象になりませんので、対応が必要になります。

次は、先ほどケース2と3で申し上げたPDFファイルとMicrosoft Office系ソフトウェアデータの取り扱いの具体的な方法です。まずは暗号化ですが、ファイルの暗号化に加えて暗号化鍵の厳密管理、送受信の際の通信路の暗号化をしっかり行うことが必要です。また、ファイルへのアクセスも認証管理をしっかりとする必要があります。さらに、電子ファイルにアクセスするすべてのPCについて、PCI DSSに適合させる必要があります。具体的には、PCを社内の他のネットワークから分離する、ウイルスチェックソフトを導入してチェックする、さらにPCの持ち出し管理を行うといった対応が必要になってくるでしょう。

音声データについても、基本は電子ファイルとして扱うことになるので、必要な対策としては電子ファイルの対策と同様になります。唯一、コールセンター特有のものとして、カード会員情報の聞き取りを行う場合には、オペレータに対して理解度の把握、誓約書の取得、教育を行うことが必要になります。

▶▶後編へ続く

※本記事は2017年3月22日に開催された「ペイメントカード・セキュリティフォーラム2017」のエクシード ビジネス推進本部 セキュリティグループ PCI DSSコンサルタント 松原 史典氏の講演をベースに加筆を加え、紹介しています。

お問い合わせ先
■株式会社エクシード
ビジネス推進本部 セキュリティグループ
〒141-0022
東京都品川区東五反田3-20-14 高輪パークタワー7F
TEL :03-6422-0021(代表)
URL:http://www.xseed.co.jp/
Email : info@xseed.co.jp

page toppagetop