受託するクレジットカード情報保護のため、委託元のカード会社等から急遽PCI DSS準拠を求められるコールセンター事業者が増えています。国内のガイドラインとPCI DSSとの関連もあわせてポイントを解説します。
2018年6月に「割賦販売法の一部を改正する法律」が施行され、割賦販売法が改正されました。(改正割賦販売法)
その中で、クレジットカード番号等の適切な管理が求められることとなりました。
「第三十五条の十六 クレジットカード番号等取扱業者(次の各号のいずれかに該当する者をいう。以下同じ。)は、経済産業省令で定める基準に従い、その取り扱うクレジットカード番号等(包括信用購入あつせん業者又は二月払購入あつせんを業とする者(以下「クレジットカード等購入あつせん業者」という。)が、その業務上利用者に付与する第二条第三項第一号の番号、記号その他の符号をいう。以下同じ。)の漏えい、滅失又は毀損の防止その他のクレジットカード番号等の適切な管理のために必要な措置を講じなければならない。」
改正割賦販売法におけるセキュリティ対策義務の実務上の指針と位置づけられたのが「クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画」(実行計画)でした。実行計画では2020年3月を期限としてクレジットカード情報の非保持化やPCI DSS準拠といったセキュリティ対策義務の履行を進めていました。
現在は後継文書として「クレジットカード・セキュリティガイドライン」が改正割賦販売法におけるセキュリティ対策義務の実務上の指針として公開されています。
改正割賦販売法が求めるセキュリティ対策義務に終わりはなく、今後も「クレジットカード・セキュリティガイドライン」を指針に、不正利用の防止や、カード情報を保護するためのセキュリティ対策を継続していく必要があります。
「クレジットカード・セキュリティガイドライン」において、コールセンターやBPO事業者といった複数の顧客からカード情報を取り扱う業務を受託する事業者については「PCI DSS準拠等の必要なカード情報保護対策等を行う。」とされています。
また、関係事業者(カード会社(イシュア、アクワイアラ)、PSP、加盟店)対して、「カード情報を取り扱う業務を外部委託する場合は、委託者自身が委託先のセキュリティ状況を確認し、責任をもってPCI DSS準拠等の必要な対策を求める。」ことを要求しています。
カード情報を取り扱う業務を外部委託しようとする場合以下のような対応が必要となります。
- | カード会社、PSPについては自身がPCI DSSの準拠が求められていることから、委託先についてもPCI DSS準拠ステータスを確認する必要がある(PCI DSS 要件12.8.2) |
- | 非保持化を支援するシステムを利用する場合、PCI DSS 準拠済みのシステムを利用する必要がある |
- | 委託元の責任において委託先のセキュリティ状況を確認し、情報管理に係る指導を行う必要がある |
したがって、コールセンターやBPO 事業者は委託元から次のような依頼を受けることが想定されます。
- | 提供サービスやシステムの PCI DSS 準拠証明書の提示 |
- | 委託元によるセキュリティ点検の受け入れや、セキュリティチェックシート等の提出要求(PCI DSS 準拠相当であることの確認) |
PCI DSS の専門知識を持たない委託元が委託先の点検を行うことは事実上難しく、委託元のリスクにもなり得ます。
そのため、カード情報を取り扱う企業は今後、コールセンターや BPO 事業者との契約に PCI DSS 準拠を条件とするケースが増えることが予想されます。
本来、PCI DSS はペイメントカードの処理を行うすべての事業体に適用されます。これには加盟店、プロセサー、アクワイアラー、イシュア、サービスプロバイダが含まれます。またPCI DSS は、カード会員データや機密認証データを保存・処理・伝送するすべての事業体に適用されます。
「非保持化」の概念も含め、「クレジットカード・セキュリティガイドライン」は日本国内のルールです。そのため、ガイドラインを基にした非保持化やPCI DSS相当のセキュリティ対策を講じていてもPCI DSS準拠を求められている、といったご相談を受けることが少なくありません。
PCI DSSに準拠するにあたって考慮すべき点は多くありますが、コールセンター/BPO事業者がサービスとして準拠する際には、責任分界点を意識したサービス定義が重要となります。
PCI DSS では評価範囲がスコープとして明確に定義されるため、サービスプロバイダの場合、自社でPCI DSSの準拠に責任を持つ範囲を明確にし、顧客に提示する必要があります。特にコールセンター等では、様々なサービス形態が考えられるため、サービスとしてPCI DSSに準拠する際には、範囲の設定が重要です。
自社端末、自社ネットワークを使用し、複数の委託元向けに業務提供を行う場合と端末およびネットワークを各委託元の責任で貸与される場合とではPCI DSS準拠スコープが大きく変わってきます。
- | クレジットカード情報を取り扱うコールセンターやBPO事業者としてPCI DSS 準拠済みのサービス、システムは大きなアピールポイントとなります。 |
- | 責任分界点を明確化し、業務で利用する端末やシステムについて、委託元と委託先のどちらで準拠する必要があるかを定義することが重要です。 |
- | 過大投資を避けるためにも、準拠対象範囲の選定とともに狭小化を検討することが推奨されます。 |
クレジットカード業界の国際的セキュリティ基準 "PCI DSS" "PCI P2PE" "PCI 3DS"への準拠をめざす企業を支援しています。
準拠状況を適切に維持できているかどうかを確認し、問題点があれば早期発見、解決に役立てるためにご質問対応、最新情報を提供します。
PCI DSS準拠済企業様のセキュリティを再確認します。