サービスプロバイダーはPCI DSS準拠が必須か

「実行計画」は2016版の時からサービスプロバイダーへのガイドが明確になっていませんでした。加盟店はできるだけカード情報を非保持にして、PCI DSS準拠する手間やコストを少なくしたいことからカード情報の取扱いは外部の委託先に任せようという動きが広まってきています。
ではその委託先であるサービスプロバイダーは、PCI DSS準拠しなくてはならないのか、カード情報非保持にすることは可能なのか、といった疑問・質問が増えています。

「実行計画2017」では、まず「１．クレジットカード情報の適切な保護に関する取組について」で、総論として、加盟店においてはカード情報を非保持化することを基本とした取組を第一に検討し、カード情報を取り扱うカード会社及びPSPは、カード情報保持を前提とした適切な対策の構築が必要(P11)、と書いています。ここではサービスプロバイダーについてふれられていません。カード情報非保持は、基本的に加盟店を対象とした政策なのです。
そしてP19の「４．加盟店以外のカード情報を取り扱う事業者のPCI DSS準拠の推進について」の項で、次の記述があります。
カード情報を取り扱うカード会社及び PSP については、業務上大量のカード情報を管理・利用しており、カード取引に係るインフラの一端を担う重要な役割に鑑み、PCI DSS の準拠は当然の責務である。
としています。そしてこの段落で引続き
「なお、カード会社・PSP 以外のカード情報を取り扱っている事業者も同様である。」
と書いています。つまりサービスプロバイダーに関する記述がここに登場しており、サービスプロバイダーはすべてPCI DSS準拠が必須である、と読めますが、この段落は本来カード会社やPSPなど大量のカード情報を管理している事業者のことを言っている部分であり、そのような大規模サービスプロバイダーについてはPCI DSS準拠が必要、という意味なのです。

一方、P20の「６．各主体の役割について」の項では、「各主体がカード情報を取り扱う業務を外部委託する場合は、委託者自身が委託先のセキュリティ状況を確認し、責任を持ってPCI DSS準拠等の必要な対策を求めていくこととする。」と書かれています。ここで注目すべきは、委託先であるサービスプロバイダーに対しては、PCI DSS"等"の対策と言っており、必ずしもPCI DSSに限定していないのです。
このため、PCI DSSに限定されないならば、ではどのようなセキュリティ対策をすれば認められるのか、という質問･不安が加盟店や委託先に多くなっています。実行計画の回答からすれば、「それは各主体者が適切に考え、判断することです」ということになるのでしょうが、なにごとも文書化したガイドラインで決めてもらえないと取り組めない、日本人気質としては迷うのも無理ないことかも知れません。
実行計画は今年3月初めに2018年版にバージョンアップされる見込みですが、サービスプロバイダーに関する方針をもっと明確にすることが望まれます。
（原稿ご提供：日本オフィス・システム㈱ 情報セキュリティ担当森大吾氏）