スキャンPDFでも送信すれば非保持にならない

実行計画2018では、カード番号が書かれた申込書やFAX、メモ等の紙媒体をスキャンした画像データ(PDF)を保存する場合には、「保持」とはならない、とされています。(P11欄外の注釈)
この内容は、昨年の実行計画2017の公表版には記載されておらず、紙媒体のまま保存するなら非保持だが、電磁的情報として保存すれば非保持といえない、とされていました。ところが関係者版では、紙媒体をスキャンした(PDFなどの)画像データは非保持とみなす、という補足があり、まったく逆の内容でした。
このため多くの加盟店で、カード会社などから関係者版の内容を教えてもらえる企業と、知らない企業に分かれる結果となり、混乱が生じました。そこで実行計画2018年版では、スキャン画像PDFの保存は非保持に一本化されました。
ただし大きな注意点があります。あくまで「保存する場合は非保持」ということです。もしスキャンした画像データを、メールに添付して委託先などへ送信すれば、これは電磁的に送受信する行為に当たりますから、カード情報非保持の範囲を超えて、PCI DSS準拠が求められることになるのです。
ところが「スキャンPDFは非保持でOK」というフレーズだけが飛び回っている傾向があり、大きな誤解になっています。「保存するだけなら非保持」という条件まで、しっかり認識して運用する必要があります。
ではスキャンPDFを外部へ送るのでなく、社内の同僚にメール添付で送る場合はどうでしょうか。この点について実行計画2018では、非保持とは「自社で保有する機器・ネットワークにおいて、カード情報を『保存』、『処理』、『通過』しないこと」をいう、との明確な表現があります。したがって、社内の同僚に送る場合も、社内ネットワークを使って伝送することになりますから、非保持を逸脱してPCI DSS準拠が求められることになります。
とはいっても、スキャン機器がスタンドアローンになっていて、スキャン機器のみにPDFデータを保存している企業は、まずないでしょう。スキャン機器から社内ネットワークを通じて、いったん担当者のPCにデータが保存されたり、社内サーバーに保存されたりするのが普通です。これではPDFデータを伝送していることになってしまうのです。
また、社内サーバーという認識で、外部のクラウド事業者やデータセンターに保存されるケースも多いでしょう。企業にしてみれば、これらも「社内システムで保存している」との認識です。このように細かく検討していくと、この「スキャンPDFの保存は非保持としてよい」のガイドラインには、矛盾・限界がありありと見えていることが分かります。
これはもともと通販事業者などから、「非保持を達成したいが、紙の申込書を紙のままで保存し続けるのは無理です」との声が大きく、スキャン画像を社内で保存するだけなら認めようかという観点から、例外的に設けたものです。したがって矛盾があることを認識したうえで、事業者側が最低限の運用に留意するしかないと思われます。

（原稿ご提供：日本オフィス・システム㈱ 情報セキュリティ担当森大吾氏）