PCI DSSにおけるカード情報の定義とは?クレジットカードで、ECサイトなどで買い物する際に求められるもの
PCI DSSにおけるカード情報の定義があって、保護対象のカード情報をアカウントデータと呼ばれて、PCI DSSとは奥が深いことを感じさせます。
アカウントデータに含まれる項目は、カード会員データと機密(センシティブ)認証データに分けられます。
カード会員データのプライマリアカウント番号(PAN)とは、カード表面に印字された16桁ないし15桁のカード番号であり、将来的には19桁化が予定されています。CAV2/CVC2/CVV2/CIDとは、カード裏面に印字された3桁或いはカード表面の4桁の数字を意味して、一般的にはセキュリティコードと呼ばれています。
全トラックデータは、カードの磁気ストライプに含まれる72バイト(69桁)の文字列で、全磁気ストライプ情報です。
対面決済で全トラックデータが利用されますが、非対面決済の与信照会の際に不可欠なPANと、有効期限も含まれています。
クレジットカードで、ECサイトなどで買い物する際に、カード番号・氏名・有効期限とともに、セキュリティコードの入力を求められる場合があります。
セキュリティコードは、American Expressのみ表面の4桁で表示されます。
ECサイトを利用するときに、セキュリティコードを要求しないカード加盟店もあります。
PCI DSS準拠が求められている時代。PCI DSS準拠の期限について
情報管理強化のために、PCI DSS準拠が加速し、カード情報漏洩防止が、日本を含めた各国に求められています。
クレジットカード情報を取り扱う事業者は、PCI DSS準拠もしくは、クレジットカード情報の非保持化をしなくてはなりません。
一般にカード会社とは、加盟店との契約や決済と精算業務を行うカード会社(アクワイアラ)と、カード会員に対してクレジットカード発行業務を行うカード会社(イシュア)です。
カード会員がクレジットカードを加盟店に提示すると、決済ネットワークを通してアクワイアラにカード情報が送られ、イシュアへと連携されます。
この過程でカード情報が通過・処理・保存される事業者は、外部の業務委託先も含め、全てPCI DSSに準拠する必要があります。
クレジットカード取引に関わる事業者の種類別に、PCI DSS準拠の期限が定められています。
間に合わなかった場合の罰則規定はありませんが、決済代行事業者に対して、アクワイアラとの契約を見直すよう求められています。
改正割賦販売法によると、加盟店もカード情報保護について法律上の義務を負います。
アクワイアラからの指導強化や、加盟店契約が解除になる可能性もありますので、心当たりある加盟店はご注意ください。
