紙情報はPCI DSSの対象から除外してよいか

 2017.08.23  三和コムテック

「実行計画2017」には、「紙媒体のまま保存する場合は非保持となる。(P14)」と書かれています。

通販の申込みはがきやFAXに、クレジットカード番号が記入されていても、紙のままで保存するのであれば、カード情報非保持と認められます。
ところが、この事業者がPCI DSSに準拠しようとして、QSAの審査やSAQで対応する場合、「実行計画で、紙の保存は非保持としてよいことになっているから、この紙媒体は審査の対象から除外してよい」と考えるのは誤りになるので、注意が必要です。

PCI DSSでは要件9で、「媒体とは、カード会員データを含むすべての紙および電子媒体のことです」と定めています。
紙の申込書に書かれたカード番号も、非保持でなく保護の対象にしなくてはいけないのです。

「日本では、PCI DSSよりも国の実行計画のルールが優先されるのではないのか」という意見はあるでしょう。
そのとおり、カード情報を紙媒体だけでしか扱わない事業者なら、PCI DSS準拠は求められないことになっています。

しかし、PCI DSSに準拠しようとするからには、PCI DSSの要件に従う必要があるのです。
ガソリンエンジンと電気モーターを併用して、状況に応じて使い分けるというハイブリッド車のような"いいとこ取り"の適用はしないということです。
カード情報非保持なのか、PCI DSS準拠なのか、その選択は明確にしなくてはなりません。
この点は、経産省と日本クレジット協会、JCDSCのQSA部会との情報交換の場で、確認されたことでもあります。

(原稿ご提供:日本オフィス・システム㈱ 情報セキュリティ担当森大吾氏)

SCT SOLUTION BOOK

RECENT POST「セキュリティ」の最新記事


セキュリティ

EBOM vs MBOM vs SBOM 主な違いとベストプラクティス

セキュリティ

対岸の火事ではない!、英国史上、最大の冤罪事件

セキュリティ

SBOM(Software Bill of Materials)の特徴と必要性

セキュリティ

ますます高度化するサイバー攻撃に、来年もご注意を! 

紙情報はPCI DSSの対象から除外してよいか

PAGETOP