加盟店によるカード会員データの保管について

カード情報漏洩について定期的にウォッチしているのだが、カード番号と一緒に、セキュリティコードも流出している事例をよく見かける。PCIDSSに関する知識や理解がまだまだ追いついておらず、少し残念な気持ちになったので、内容を簡単に纏めてみた。

流出したのは、2019年11月29日から2020年11月10日の期間中に「KQLFT TOOLS」にてクレジットカード決済を利用した顧客584名分のカード情報（名義、番号、有効期限、セキュリティコード）。 https://t.co/Sqkd60tZC1

— 決済情弱 (@paymentjp) July 29, 2021

1. セキュリティコードの保管はNG

業界のカード情報セキュリティの国際統一基準であるPCIDSS（Payment Card Industry Data Security Standard）において、セキュリティコードを加盟店が保管することは禁じられている。

PCI DSSとは、カード会員情報の保護を目的として、国際ペイメントブランド5社（アメリカンエキスプレス、Discover、JCB、マスターカード、VISA）が共同で策定したカード情報セキュリティの国際統一基準

加盟店が保存しても良いカード会員データは、1. カード番号、2. カード会員名、3. 有効期限、4. サービスコード。セキュリティコードを含む機密認証データは、たとえオーソリゼーション後、暗号化していても保存してはいけないことになっている。

ちなみに、カード券面の磁気情報、フルトラックデータに何が含まれているのか？また、実際のところ、何を加盟店が保管していいのかは、以下ページが参考になる。Track 1とTrack 2の赤字部分（Violation to store）が保管してはいけないデータとして定められている。

2. 加盟店自らカード番号を保管するには

そもそも、カード番号を加盟店自ら保持する場合は、PCIDSS準拠が必要である。もちろん準拠していれば、こうしたセキュリティコードの流出が起こることは考えづらい。

おそらくPCIDSS準拠のハードルが高く、代替案としてPSPとカード情報の非保持化対応を検討するなかで、なんらかの認識の齟齬が発生しているのだろう。

PSP自体もカード情報を取り扱うため、PCIDSS準拠が求められている。そのため、非保持化対応として加盟店からトークナイゼーションを使いカード番号を預かる際にセキュリティコードを受け取ることはない。

例えば、Amazonでカード情報を登録する際は、セキュリティコードは求められない。Amazonが自社で保管しているのか、決済代行事業者に保管を頼んでいるのかはわからないが、いずれにしろ、PCIDSSに準拠していると言える。

3. 原因は、加盟店とPSP/アクワイアラー間の認識齟齬か

そう考えると、アクワイアラーやPSPがいくらヒアリングベースで加盟店に対応状況を確認したところで、加盟店側で注文処理の際に使った決済情報を、何らかの理由で黙って保管してしまっている場合、発見することはできない。最終的には加盟店の理解度に依ってしまう。正確にセキュリティ要件を理解してもらい、対応してもらうしかないのであろう。

その他、加盟店がセキュリティコードを保管するインセンティブは、実際にあるのか？つまり、インセンティブとしてオーソリ承認率の向上が可能なのか？という点は、気になる。実際のところ、あまりインセンティブはないようにも思うので、そのあたりのことも考察してみたい。