PA-DSSの対象

PA-DSSが対象とする「ペイメントアプリケーション」は、カード会員データをオーソリや決済の一部として保存、処理または送信するアプリケーションで、第三者に販売、配布、ライセンス提供されるものを指す。「第三者に～」と対象が限定されているのは、特定のユーザー向けに開発されたカスタムアプリケーションは、そのユーザーのPCI DSSの範囲で評価すればよいためだ。

PA-DSSの対象となる代表的なものとしては、対面取引ではPOS端末や決済端末に内蔵される決済アプリケーション、非対面取引ではショッピングカート、そのほかに決済センター接続パッケージなどがある。カードリーダーを接続したスマートフォンやタブレットをPOSレジとして使用できるようにするmPOS（モバイルPOS）のアプリケーションについては、モバイルデバイス固有のリスクがあるためPA-DSSの対象外となっている。mPOSを使用する場合は、P2PE（Point-to-Point Encryption）ソリューションを使って、モバイルデバイスに平文のカード会員データを通過させないことが推奨されている。

PA-DSSの普及状況

PA-DSSに準拠して認定されたアプリケーションは、PCI SSCが管理するWebサイト上のリストに掲載される。2016年12月現在で有効なアプリケーションは約500あり、有効期限を過ぎたものを含めると、4,000以上が登録されている。PA-DSSが普及している海外では、アクワイアラが加盟店に対してPCI SSCのリストに登録されたアプリケーションを使うよう指導したり、決済サービスプロバイダが決済端末ベンダーに対してPA-DSS準拠の要請をしたりすることが一般的になっている。一方、日本国内では、わずかなPOSベンダー、ATMベンダーの一部の製品がPA-DSSの認定リストに登録されているという状況だ。

PA-DSSの今後の展望

「実行計画」では、「POS システムの PCI DSS 準拠のために、PA-DSS準拠製品の使用が望ましい」とされている。非保持を実現できないPOS加盟店はPCI DSS準拠が必要となるため、POSベンダーに対してPCI DSSに対応できる製品やPA-DSS準拠製品を求める声が増えてくるだろう。また、POSベンダーの立場で考えると、加盟店からPCI DSS準拠に関する問い合わせが増えている状況があり、この対応をPA-DSS準拠製品の提供によって集約できるメリットがあることから、日本国内でも今後普及が進むことが予想される。

P2PEとは

P2PE（Point-to-Point Encryption）は、加盟店のPOIデバイス（Point of Interactionの略でカードからデータを読み取る装置を指す）で読み取ったカード情報を直ちに暗号化し、送信先の安全な復号環境へ到達するまでカード情報を保護する、二拠点間の暗号化方式である（図1）。POIデバイスの提供から復号環境の運営まで含んだ全体をP2PEソリューションと呼ぶ。P2PEで暗号化されたカード情報は、加盟店の従業員はもちろんPOS端末も復号することができないため、POSマルウェア情報漏えい対策や、「実行計画」の非保持を実現するソリューションとして注目されている。

P2PEの普及状況

P2PEに準拠して認定されたソリューションは、PCI SSCが管理するWebサイト上のリストに掲載される。2016年12月現在で25のソリューションが登録されているが、この2倍以上のソリューションが審査中と言われており、今後も増加していくことが予想される。残念ながら、まだ日本国内で提供されているP2PEソリューションはない状況だが、カード情報の非保持を実現したい対面POS加盟店のニーズが拡大していることから、1～2年以内には登場することだろう。

加盟店がP2PEソリューションを利用するメリット

加盟店のPCI DSS対応においては、P2PE利用によるPCI DSSスコープの縮小が最大のメリットとなる。スコープの縮小には2つの側面がある。1つはシステム範囲の縮小だ。P2PEソリューションを利用することによって加盟店環境にカード会員データが保存されない構成となることから、PCI DSSの管理対象となるシステム範囲を縮小することが容易になる。もう1つは、対象となるPCI DSS要件の削減だ。原則としてPCI DSSは約400項目にわたるすべての要件について対象システムに適用されるか評価した上で、適用される要件について準拠状況を評価することになるが、P2PEを利用する場合は初めから対象となる要件が33項目に絞られており、この中で適用性と準拠状況を評価することになるため、対応にかかる労力は単純計算で10分の1以下に軽減できる可能性がある。

加盟店がP2PEソリューションを利用する際の注意点

対象となるPCI DSS要件を33項目へ削減するには一定の条件がある。具体的には「SAQ（Self-Assessment Questionnaire） P2PE」という様式を用いてPCI DSS準拠を自己問診することになるのだが、この様式を使用するには次の条件をすべて満たす必要があり、SAQの使用可否はアクワイアラが最終的に判断することになる。

1.すべての支払処理は、PCI SSCに承認され掲載された、認定済みPCI P2PEソリューションを経由している
2.加盟店環境でアカウントデータを保存、処理、送信するシステムは、PCIに掲載された認定済みのP2PEソリューションで使用を認められたPOIデバイスのみである
3.加盟店は、別の方法で電子的にカード会員データを受信または送信しない
4.加盟店は、過去の電子的なカード会員データが環境内に存在しないことを調査している
5.加盟店がカード会員データを保存する場合、そのデータは紙のレポートまたは紙のレシートのコピーであり、電子的に受信していない
6.加盟店は、P2PEソリューションプロバイダから提供されるP2PE取扱説明書（PIM）のすべてのコントロールを実装済みである

多くの加盟店にとって課題となるのは4つ目の項目ではないだろうか。税法上、7年間の帳簿保管義務により、カード会員データの含まれる電子ジャーナルを保管するケースがあるが、この場合、過去のデータを破棄することは適わないだろう。また、ポイントカードの会員管理にカード番号を使用しているケースや、クレジット機能付きのポイントカードをPOS端末に読ませたいケースでは2つ目の項目が課題となると思われる。

加盟店としては「SAQ P2PE」の条件を満たせるか検討し、満たせない場合にはP2PEソリューションの利用によってどの程度までPCI DSSのシステム範囲を縮小できるか検討することから始めるのがよいだろう。