コンサルティング

~ 改正割賦販売法 (クレジットカード番号等の適切な管理)への対応 ~
PCI DSS準拠支援サービス/クレジットカード情報非保持化支援サービス

短期間で効率的に、改正割賦販売法に対するコンプライアンス遵守!
PCI DSS準拠またはカード情報非保持化を支援!

  • 「クレジットカード情報等の保護対策支援」を2006年から行っており、 10年以上の豊富な支援実績を
    活かしたサービスを提供
  • PCI DSSの要件を弊社独自の体系にまとめ、お客様が対応しやすい形で進めるため、 短期間でPCI DSSまたは
    非保持化に向けた対応を支援
  • 多くの加盟店、BPO事業者、決済代行業者、カード会社等へのカード情報保護支援の経験に基づき、 業態・規模に合わせた
    最適な対策案を提示
目次
  1. クレジットカード番号等の適切な管理に関する国内の動向
  2. 「実行計画2018」におけるカード情報非保持化またはPCI DSS準拠の対応期限
  3. カード情報を取り扱う事業者の改正割賦販売法対応
  4. PCI DSS準拠支援サービス
    1. PCI DSS準拠支援サービスの特長
    2. PCI DSS準拠支援サービスの概要
    3. コストをミニマイズするためのポイント紹介
  5. クレジットカード情報非保持化支援サービス
    1. カード情報非保持化支援サービスの特長
    2. カード情報非保持化のイメージ
    3. カード情報非保持化支援サービスの概要

1. クレジットカード番号等の適切な管理に関する国内の動向

クレジットカード(以下、「カード」と記載)取引において、「加盟店を狙った不正アクセスによりカード情報の漏えいが拡大している」、「偽造カードや本人になりすました不正利用による被害が増加している」という背景を踏まえ、経済産業省が主体となり、カード取引におけるセキュリティ対策の強化を推進しています。

2016年12月9日に公布、2018年6月1日に施行された改正割賦販売法により、カード情報の適切な管理(割賦販売法 三十五条の十六)がカード情報を取り扱う事業者に求められました。また、改正割賦販売法で求められるセキュリティ対策の実務上の指針として、2018年3月「クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画2018(以下、「実行計画2018」と記載)」(クレジット取引セキュリティ対策協議会) が発表され、カード情報等に関する具体的なセキュリティ対策が公開されました。

カード情報を取り扱う事業者は改正割賦販売法に対するコンプライアンス遵守が求められます。また、カード番号等の取り扱いに関する安全管理措置については、「実行計画2018」に従い進める必要があります。

「実行計画2018」において、加盟店、BPO事業者(※)等は、カード情報の非保持化またはカード情報を保持する場合はPCI DSS準拠が求められています。

※カード情報の入力代行業務、コールセンター業務などを行う事業者(Business Process Outsourcing)

2. 「実行計画2018」におけるカード情報非保持化またはPCI DSS準拠の対応期限

 「実行計画2018」におけるカード情報非保持化またはPCI DSS準拠の対応期限 イメージ   「実行計画2018」におけるカード情報非保持化またはPCI DSS準拠の対応期限 イメージ   「実行計画2018」におけるカード情報非保持化またはPCI DSS準拠の対応期限 イメージ

3. カード情報を取り扱う事業者の改正割賦販売法対応

業務上、社内でカード情報を
取り扱う必要がある組織

↓

PCI DSS準拠

 PCI DSS準拠支援サービス イメージ  PCI DSS準拠支援サービス イメージ ↓ PCI DSS準拠支援サービス→

業務や顧客への影響を考慮した上で、
「カード情報を社内で取り扱わない状態」
に変更可能

↓

非保持化

 クレジットカード情報 非保持化支援サービス イメージ  クレジットカード情報 非保持化支援サービス イメージ ↓ クレジットカード情報非保持化支援サービス→

(※)BPO事業者等の委託先を含めた対応が必要

4. PCI DSS準拠支援サービス

4-1 PCI DSS準拠支援サービスの特長

  1. セコムトラストシステムズ

    対象範囲を絞り込みすることにより、対策コストをミニマイズ
  2. お客様システム環境に応じたPCI DSS対応策を提示
  3. 審査機関(QSA)との調整
  4. 代替コントロールの作成
  5. PCI DSS準拠に必要なソリューションをワンストップで提供
PCI DSS準拠支援サービスの特長 ↓

ミニマムコスト、短期間でPCI DSS準拠

4-2 PCI DSS準拠支援サービスの概要

PCI DSS準拠に向けた対応の支援

お客様が安心して審査を受けられるよう万全の準備をします。

次の手順でPCI DSS準拠の支援を行います。
ステップ1:
対象範囲の決定
カード情報を取り扱う業務に関する情報をご提示いただき、PCI DSS準拠の対象範囲を決定します。
ステップ2:
準拠の種類の決定
PCI DSS準拠の種類(完全準拠、または一部の要件を満たす部分準拠)を決定します。
ステップ3:
ギャップ分析
PCI DSS準拠状況を、ヒアリングと文書確認にて実施します。
ステップ4:
改善案の策定
ギャップ分析結果に対する改善案を作成します。
ステップ5:
改善計画の策定
改善が必要な事項について、対応計画を作成します。
ステップ6:
改善作業の実施
対応計画に従い、改善対応を行います。
・弊社でサンプル文書を提示
・システム環境の構築に向けた具体的な方法をアドバイス
ステップ7:
訪問審査
審査機関(QSA)が訪問審査を実施します。
ステップ8:
審査後のフォロー
指摘事項に対して、改善方法をアドバイスします。

※作業期間は目安であり、お客様の業務やシステム環境等により異なります。

4-3 コストをミニマイズするためのポイント紹介

対象範囲の絞り込み

カード情報を「処理」、「伝送」、「保管」するシステムの絞り込みを行います。

対象範囲の絞り込み(例)
PCI DSS対象範囲の絞り込みイメージ PCI DSS対象範囲の絞り込みイメージ ↓ PCI DSS対象範囲の絞り込みイメージ

システム的対策の最適化

PCI DSS準拠のためのシステム対策コストをミニマイズするための最適なシステム的対策をアドバイスします。

PCI DSSの要件ごとにシステム対策を実施

■主なシステム対策
PCI DSS準拠のためのシステム対策コストをミニマイズするための最適なシステム的対策 ↓ PCI DSS準拠のためのシステム対策コストをミニマイズするための最適なシステム的対策

貴社の業務、システム環境、PCI DSS要件を十分考慮した上で、最適なシステム構成、ソリューションや製品をアドバイスしますので、システム対策コストのミニマイズが可能です。

5. クレジットカード情報非保持化支援サービス

5-1 カード情報非保持化支援サービスの特長

  1. (1) お客様先に出向いて、現場の状況を把握しながら実施
  2. (2) 貴社の業務フロー、システム、委託先の状況を把握した上で、貴社に最適な対策案を提示

5-2 カード情報非保持化のイメージ

カード情報非保持化のイメージ カード情報非保持化のイメージ 自社 カード情報非保持化のイメージ 委託先

5-3 カード情報非保持化支援サービスの概要

カード情報の非保持化に向けた対応を支援

カード情報の非保持化を実現し、お客様に安心してクレジットカード決済がご利用いただける環境整備を支援します。

ステップ1:
事前準備
具体的なカード情報の洗い出し方法や、見落としがちな箇所などについてアドバイスします。
ステップ2:
カード情報の洗い出し
貴社のカード情報を取り扱う全部門を対象に、カード情報の洗い出しを実施します。
ステップ3:
非保持化の具体策検討
貴社の実情に沿った対応案を提示します。
ステップ4:
委託先の対応検討
カード情報を取り扱うすべての委託先を対象にヒアリングを実施し、実態を把握した上で、「委託先対応項目一覧」を作成します。
ステップ5:
報告書の作成
非保持化対応報告書を作成し、報告します。

※作業期間は目安であり、お客様の業務やシステム環境等により異なります。

お問い合わせ・資料請求
デジタルフォレンジックサービス SSSマーク

PAGE TOP