pci dssサービス紹介サイト - ペイメントワールド

[ 2012年11月07日 - PAYMENT WORLD ]日本クレジット協会のクレジットカード情報管理強化に向けた実行計画、PCI DSS準拠か非保持が必要に

2012年11月7日9:00

日本クレジット協会(JCA)は、2012年5月、「日本におけるクレジットカード情報管理強化に向けた実行計画」を発表した。JCAのインフラ整備部会が経済産業省と連携し、同実行計画を策定した。

日本におけるクレジットカード情報管理スキーム(出典:日本クレジット協会の「日本におけるクレジットカード情報管理強化に向けた実行計画」)

自社でクレジットカードを保持している企業で、対象は「クレジットカード会社」、「加盟店」、「決済代行事業者」となる。加盟店については、①非対面/ネット取引、②対面/POS取引、③対面/スタンドアロン、クレジットカード会社については、①アクワイアラ、②プロセッシング、③イシュイングのそれぞれ3形態に分類されている。

今回の実行計画により、まず決済代行事業者の場合、形態を問わずすべての事業者が2013年3月までのPCI DSS準拠が必要だ。また、レベルAで非対面のネット加盟店は、センシティブ認証情報非保持が2012年9月まで、PCI DSS準拠が2013年3月までとなる。さらに、レベルAの対面/POS加盟店の場合、センシティブ認証情報非保持が2013年3月まで、PCI DSS準拠が2018年3月までに設定されている。

また、レベルBで非対面のネット加盟店の場合、センシティブ認証情報非保持が2012年9月まで、PCI DSS準拠もしくはクレジットカード情報非保持への対応が2013年3月までに設定された。また、レベルBの対面/POS加盟店は、センシティブ認証情報非保持が2013年3月まで、PCI DSS準拠が2018年3月までとなる。レベルCの対面/POS加盟店についても、2018年3月までにPCI DSS準拠またはクレジットカード情報非保持に対応しなければならない。一方、対面/スタンドアロンの加盟店については、2013年3月までにクレジットカード情報非保持への対応が必要となる。

クレジットカード会社については、レベルAのアクワイアラとプロセッサ、レベルBのイシュアは、2018年3月までにPCI DSSへの準拠が必要となる。また、レベルCのイシュアは、他社クレジットカード情報非保持が求められる。

このように、JCAでは、ペイメントカード情報を保護する ためのセキュリティ基準を、PCIDSSもしくは非保持に設定した。今回の実行計画は義務ではないが、情報セキュリティ強化のために、加盟店やサービスプロバイダは定められた期限までに対応を行うべきだろう。

ペイメントカード・セキュリティフォーラムでは、加盟店やサービスプロバイダのペイメントカード情報のセキュリティ強化のために押さえておきたいポイントを解説した講演が数多く行われる予定だ。

■安心・便利なクレジットカード決済に向けて「ペイメントカード・セキュリティフォーラム」
http://www.paymentnavi.com/paymentnews/26190.html

PCI DSS資料請求はこちら

pci dss 目的から資料請求 pci dss 12要件から資料請求
pci dssサービス紹介サイト - ペイメントワールド