■加盟店調査で非保持化の証明を求められるようになる？

"実行計画"が定める、通販加盟店がカード情報の非保持化またはPCI DSS準拠の達成期限である2018年の3月末を迎えたあと、多くのカード会社やPSPは通販加盟店に対して、実行計画対応状況についてアンケート調査を行いました。
加盟店は「非保持化をしました」と回答したら、それで済んでしまったのが現状です。実行計画には、非保持化を達成するためには、PSPのカード情報非通過型の決済方式に切り替えたり、社内のシステムログにカード情報が残存していないことを確認したり、といった要件がありますが、今年のアンケート調査のほとんどは、そうした具体的な回答までは求めておらず、通販加盟店の立場としては、「ちょっと拍子ぬけだが、これで済んでくれたのならありがたい」といった感想が聞かれています。
ところが、2019年からは加盟店調査がかなり厳しい内容になりそうなので、引き締めなくてはなりません。

●経産省への登録後は加盟店調査が厳しくなる
改正割賦販売法が2018年6月から施行されたのに伴い、加盟店契約業務を行うアクワイアラーと、加盟店との契約において、アクワイアラーから実質的な最終決定権限を任されて、加盟店管理を行っているPSPは、2018年の11月までに経済産業省への登録が必要になりました。
申請の要件の中で、加盟店管理については加盟店調査の具体的な要項の作成が必要で、登録の必要な企業はいまこの作業に取り組んでいる最中です。カード会社やPSPは、経産省へ登録した要項に基づいて、加盟店調査を毎年実施する必要があり、かなり詳しい設問を伴う調査が、加盟店へ送られることが予想されているのです。

経産省が公表している登録手続きの説明書「割賦販売法に基づく信用購入あっせん業者及びクレジットカード番号等取扱契約締結事業者の登録手続について」によれば、この中の加盟店調査について
①加盟店調査について規程類を設け、責任部署及び責任者を明確に定めていること。
②加盟店調査を行うに当たっての業務上の手続きが明確になっていること。
③加盟店が講じるべきクレジットカード番号等の漏洩等の事故及び不正利用を防止するための措置の基準を明確に定めていること。
⑤加盟店に対する定期的な調査については、調査事項に応じた適切な頻度及び調査方法を定めていること。
など14項目が細かく示されており、こうした社内規程や手順を明記して、登録する必要があるのです。ですから当然に来年からは登録した手順に基づき、加盟店に対してカード情報安全管理の状況について、毎年調査を行うことになります。
今年のように「非保持化をしていますか？」の質問に「はい」と回答するだけで済むのでなく、具体的にどのような対応をしたのか、社内にカード情報が残っていないことを、どのような検査をして確認しているのか、など細かい回答が求められることでしょう。

●非保持化以外のセキュリティ対策も認められる
実行計画では、「加盟店は非保持化を実現した場合であっても、継続的な情報保護に関する従業員教育やウィルス対策、デバイス管理等について必要なセキュリティ対策が求められる」とされています。来年からの加盟店調査では、「その他のセキュリティ対策を実施していますか？」程度の質問でなく、これらの具体的な実施状況も求めてくることでしょう。

細かな質問票が届いてからあわてないように、実行計画2018をよく読んで、しっかり取り組んでおくことをお勧めします。

（原稿ご提供：日本オフィス・システム㈱ 情報セキュリティ担当森大吾氏）