PCI DSS への準拠は義務か - 日本オフィス・システム株式会社

◇MYNOSMYNOS-201
2014 年 1 月号月号-
PCI DSS への準拠は義務か
----- 改正割賦販売法が求めるカード情報の安全管理スキーム ----セキュリティへの投資は、義務でないとなかなか腰が上がらないものですが、改正割賦販売法
により、クレジットカード情報の安全管理には、PCI DSS を導入しなければならない情勢になっ
てきました。この法律がどのような組み立てで、PCI DSS というセキュリティ対策を要求している
のか、見ていきましょう。
クレジットカードを取り扱う加盟店企業から、よく「PCI DSS※」に準拠するのは、
義務なのかという声を聞きます。PCI DSS というのは、VISA やマスターカード、
JCB などのカードブランドが共同で定めた、カード情報保護の国際セキュリティ
基準です。
※P
Payment Card Industry Data Security Standard の略
●国際カードブランド各社と実施プログラム(下段の文字)
■義務でないと投資の決断をしにくいのがセキュリティ
お客様から預かったクレジットカードの情報は、加盟店企業としてしっかりし
た安全管理をするのは当然と分かっていても、PCI DSS という基準に準拠しな
ければならないのか、となると別問題です。セキュリティを強化するには新たな
投資も必要ですし、順守しなければならない法令や ISO などの基準はたくさん
あり、すべてに投資するわけにもいきません。
事業者としては、法律で定められたり、監督官庁からの指導があったり、とい
った義務が伴わないと、優先順位を下げざるを得ないというホンネも、また無
理のないことでしょう。
その観点で、2010 年 12 月から全面施行された改正割賦販売法（割販法）が、
クレジットカード情報の安全管理義務について、どのように定めてあるかを見
ていきましょう。
■割販法に PCI DSS の文字はない
この法律では第 35 条に、カード会社は経済産業省（経産省）令で定める基
準に従って、クレジットカード番号等の適切な管理のために、必要な措置を講
じなければならない旨が定められています。つまり法律の条文には、「PCI
DSS」という文字が入っているわけではなく、具体的な基準は省令で定めること
になっているのです。
また、同じく第 35 条において、一般社団法人「認定割賦販売協会」を経産大
臣が認定して、その機関がクレジットカード情報保護に関する具体的な規則を
制定することも定められています。
さて、この法律を受けた経産省の省令にも、カード情報保護の具体的な規則
は定められませんでした。結局は経産大臣が認定する、(社)認定割賦販売協
会が、細かな規則を策定する流れになりました。
そしてクレジット業界では、(社)日本クレジット産業協会と、(社)全国信販協会
等が合併して(社)日本クレジット協会になり、この一般社団法人を経産大臣が
2009 年 12 月 1 日付けで「認定割賦販売協会」と認定しました。つまり、割販法
に基づく具体的なカード情報保護の基準は、(社)日本クレジット協会が策定す
ることになったわけです。
■カード情報保護に関する改正割賦販売法の流れ
■2 年以上の検討の末、PCI DSS に落ち着く
そこで(社)日本クレジット協会としては、このセキュリティ基準をどう定めるか、
協会内のインフラ整備部会で検討しました。この検討委員には主要カード会
社はもちろん、大手の百貨店、量販店、通販企業なども参加し、座長には大
学教授を据えて、2 年以上検討を重ねました。
日本においては、すでに情報セキュリティ基準の ISMS 認証を取得済みの企
業も多い中で、さらに PCI DSS を義務づける必要があるのか、といった議論も
ありました。
しかし同部会では、ISMS 認証ではクレジットカードに特化した情報保護が充
分ではないこと、VISA やマスターカードは世界中で流通しているので、日本だ
けが PCI DSS と別基準にすると、結局混乱を招いて得策ではない、といった理
由で、日本でも PCI DSS を進める結論になりました。
この答申を、(社)日本クレジット協会として機関決定したうえで 2012 年 5 月 31
日、同協会は大手加盟店 80 社を東京平河町の JA 共済ホールに招き、「クレ
ジットカードの情報保護基準は、日本においても PCI DSS に置く」と公式に説
明するセミナーを行いました。
そして加盟店やカード会社は 2017 年度末（2018 年 3 月末）までに、インター
ネット通販会社は 2012 年度末（2013 年 3 月末）までに、というタイムスケジュー
ルを含めて、PCI DSS へ準拠する実行計画書を配布したのです。
同協会はまた同日に、ホームページにもその実行計画を公表しました。この
文書は現在も次の URL から取り出すことができます。
http://www.j-credit.or.jp/info_management.html
こうしたプロセスを踏んで、改正割賦販売法という法令に基づく、クレジットカ
ード情報保護のセキュリティ基準は、PCI DSS ということになりました。すべての
カード情報取扱い事業者は、コンプライアンスの一環として PCI DSS に準拠す
ることが求められるようになったのです。
■準拠未達だと罰則は
とはいえ前述の実行計画では、インターネット通販会社は 2012 年度末まで
に PCI DSS の準拠が求められているのですが、ネット通販業界の PCI DSS 準
拠率は、まだまだ低いのが実態です。そもそも、その期限とされている 2013 年
の 3 月末は、すでに過ぎています。
では、この準拠期限を守れない企業に、罰則はあるのでしょうか。割販法で
は、クレジットカード情報を不正に取得したり、コピーして不正利用目的で保持
したりした個人に対しては、懲役 3 年以下という刑事罰が適用されます。しかし
PCI DSS に準拠していない法人に対する罰則は、規程がありません。
この法律は、カード情報の安全管理については、カード会社に加盟店やサ
ービス・プロバイダーの指導を行う責任を定めています。つまり加盟店に対す
る罰則を含めて、カード会社が責任を持つスキーム（枠組み）になっているの
です。
■カード会社は加盟店契約を改定済み
では、主なカード会社の加盟店規則を見てみましょう。たとえば
①DC 加盟店規約 （三菱 UFJ ニコス株式会社）では、第 28 条「秘密情報の
管理責任」の項で、
2. （中略）～当社は加盟店に対して秘密情報の管理に必要な情報セキュリテ
ィ基準を別途指定することができ、この場合、加盟店は当社が指定した基
準を遵守するものとします。
と定めています。割販法によって、どのようなセキュリティ基準が求められること
になるか、PCI DSS がまだ具体的に浮上しない頃から、加盟店には決定した
セキュリティ基準を順守していただきます、という規定になっているのです。
②三井住友ＶＩＳＡ・マスターカードの加盟店規約では、第 25 条「クレジットカ
ード番号等の管理」の項で、
3.当社は（中略）～、他の加盟店でのカード番号等の漏洩等が発生した場合
において類似の漏洩事故の発生を防止する必要がある場合、その他当社
が必要と認める場合には、加盟店に対し、当該措置の改善の要求その他
必要な措置・指導を行えるものとし、加盟店はこれに従うものとします。
という改定を 2011 年 11 月に行っていました。これは、割販法で緩いと言われ
ている部分、つまり漏えい事故を発生させた加盟店への指導に重点が置かれ
ているこの法律を、三井住友カード社では補完する趣旨で、まだ事故を発生
させていない加盟店企業にも、安全管理を徹底してもらう責任を定めているの
です。リスクを先取りし、念の入った組み立てといえます。
さらに三井住友カード社では、第 26 条「委託の場合の個人情報等の取扱
い」の項では、
1. 加盟店は（中略）～、当社の事前の承認を得た上で、十分な個人情報の保
護水準を満たしている委託先を選定し、（中略）～契約を委託先と締結す
るものとします。
と定めています。インターネット通販業界では、クレジットカード決済を代行会
社へ委託している企業が多いので、その決済代行会社が PCI DSS に準拠し
ていることを確認する責任を、加盟店に求めているので
す。
③カードブランドでもある JCB の加盟店規約は、2010 年
12 月 1 日に改定しており、第 28 条「カードに関する情報等
の機密保持」の項では、
2. 加盟店は前項の（クレジットカード）情報が第三者に漏
洩することがないように、情報管理の制度、システムの
整備、改善、社内規定の整備、従業員の教育等を含
む安全管理に関する必要な一切の措置をとるものとし
ます。
と定め、カード情報の安全管理のためには、組織的、人的な対策だけでなく、
システムの整備という技術的な対策も整備する責任を、加盟店へ求めていま
す。
以上、3 つの大手カード会社の加盟店規約を例に見たとおり、カード会社で
は、加盟店に対してカード情報の安全管理をどのように求めるべきか、割販法
の改正に合わせて、すでに整備が行われていたのです。
まとめると、カード情報の安全管理に関する割販法の組み立ては、以下のと
おりとなります。
① 具体的なセキュリティ基準は(社)日本クレジット協会が策定する。
② その基準は、PCI DSS である。
③ 準拠させる責任はカード会社にあり、罰則は加盟店契約に基づく。
■カード情報の安全は国際的な責務
2012 年 5 月以前、PCI DSS はカードブランドという民間団体が制定したセキ
ュリティ基準でしたが、(社)日本クレジット協会が日本における実行計画に定
めた現在では、改正割販法が求めるセキュリティ基準に位置づけられました。
PCI DSS に準拠することは、クレジットカード情報取扱い企業にとって、コンプ
ライアンス上必須であると言えます。
●インターネット社会には国境がない
漏えいされたクレジットカード情報は、瞬時に世界中で不正使用される。セキュリティ強化は、
国際社会に対する日本の責務でもある。
おりしも、日本では 2020 年に東京オリンピックが開催される運びとなりました。
海外から日本を訪れ、クレジットカードでショッピングをする人たちが、格段に
増えると予想されます。
治安の良さから逆に、「セキュリティ後進国」とも言われる日本ですが、安心し
て日本での観光を楽しんでもらえるよう、PCI DSS へ準拠することが、すべての
カード取扱い事業者に求められているのです。
解説：ソリューション営業本部 森 大吾
（日本カード情報セキュリティ協議会 事務局）