詐欺およびカードの不正利用による損失は、2024 年に合計 1 億 9,400 万ニュージーランドドル (NZD) に達し、現在も加速し続けています。ニュージーランドの法律では義務付けられていませんが、国内でカード決済を受け付ける企業は、Payment Card Industry Data Security Standard (PCI DSS) に準拠することが期待されています。カードネットワークは、加盟店契約を通じてコンプライアンスを強制します。準拠を怠ると、罰金、取引コストの増加、さらにはカード決済を受け付ける機能の喪失につながる可能性があります。
以下では、PCI DSS の要件、ニュージーランドの企業が直面する最も一般的なコンプライアンスの課題、およびコンプライアンスを正常に達成する方法について説明します。
主なポイント
PCI DSS 準拠は、ニュージーランドの法律ではなく、カードネットワークやアクワイアラーとの加盟店契約を通じて適用されます。ただし、違反による財務上および運用上の影響は多大です。
コンプライアンス義務の範囲は、システムが処理するカード会員データの量に依存します。この露出を減らすことで、コンプライアンスプロセスを簡素化できます。
適切な自己問診票 (SAQ) の選択と、社内の明確な責任者の割り当ては、ニュージーランド企業のコンプライアンスの成功に影響を与える最も重要な 2 つの決定事項です。
ニュージーランドにおける PCI 準拠とは
PCI 準拠とは、安全なネットワーク、カード会員データ、アクセス制御、情報セキュリティに関するグローバルな PCI DSS 要件を満たすことを意味します。これらの対策は、タッチ決済を利用するカフェから、サブスクリプション登録者にグローバルに請求するソフトウェア企業まで、カード会員データを扱うすべての企業が遵守する必要があります。
ニュージーランドのビジネスにおいて PCI 準拠が重要な理由
ニュージーランドにおけるカードの不正利用による損失は、毎年数億ドルに上ります。コンプライアンスへの対応は、カード会員のデータを保護し、不正利用のリスクを軽減するうえで役立ちます。
コンプライアンス違反がもたらす結果は、いくつかのカテゴリーに分けられます。
罰金: 決済ネットワークとアクワイアラーは罰金を科すことができます。違反の重大度に応じて、数百ドルから数十万ドルに及ぶ場合があります。
取引コストの増加: アクワイアラーは、コンプライアンス違反のビジネスをより高額なインターチェンジ階層に移行させる可能性があります。
不正利用による損失の責任: 情報漏洩が発生し、その時点でコンプライアンスを遵守していなかった場合、保険会社やアクワイアラーから、不正な取引、カードの再発行、フォレンジック調査の費用の責任を問われる可能性があります。
カード決済の受付停止: 深刻なケースでは、アクワイアラーやプロセッサーにより、カード決済を受け付ける権限が取り消される可能性があります。
また、風評被害の懸念もあります。ニュージーランドの 2020 年プライバシー法では、深刻な被害をもたらすプライバシー侵害が発生した場合、影響を受けた個人およびプライバシーコミッショナーに通知することがビジネスに義務付けられています。
PCI 準拠の仕組み
PCI DSS は、カード会員データを保存、処理、または送信するシステム、人、プロセスであるカード会員データ環境 (CDE) を中心に要件を構成しています。コンプライアンス義務の範囲は、CDE の規模と形態に大きく依存します。
現在の基準は PCI DSS 4.x であり、セキュリティ基準協議会が 2022 年 3 月にリリースし、移行期限により 2024 年 3 月時点で唯一の有効なバージョンとなりました。バージョン 4.0 では、企業が特定の要件をどのように満たすことができるかについて、より高い柔軟性を提供する大きな変更が導入されました。それ以降、小規模な更新がリリースされていますが、主な原則は同じです。コンプライアンスは、SAQ または認定セキュリティ評価機関 (QSA) による正式な監査を通じて検証されます。また、取引量やカードデータの取り扱い方法にも依存します:
SAQ A: 一般的に最もシンプルな経路であり、カード処理を完全に外部委託し、自らはカード会員データに触れない企業に適用されます。
SAQ A-EP: 通常、サードパーティの決済画面を使用しているが、自社のウェブサイトでリダイレクトを処理する場合に適用されます。
SAQ D: 最も包括的な経路である SAQ D は、カード会員データを保存している、またはより単純なカテゴリーに当てはまらない方法でデータを処理している企業に適用されます。
レベル 1 加盟店: 年間 600 万件を超える Visa または Mastercard の取引を処理するレベル 1 加盟店は、QSA によるコンプライアンスレポート (ROC) を提出する必要があります。
中小規模のニュージーランド企業の多くは、いずれかの SAQ 経路の資格を満たします。どれに該当するかは、決済の導入モデルに大きく依存します。
ニュージーランドのビジネスに対する PCI 準拠の要件
PCI DSS には 12 の中核となる要件が含まれています。これらの要件は、6 つの管理目標の下にグループ化されています。
1. 安全なネットワークの構築と維持
ネットワークセキュリティコントロールを導入し、維持します。これは、コンプライアンスを適切に遵守するための基盤です。
2. アカウントデータの保護
強力な暗号化を使用して、保存されているカード会員データを保護します。オーソリの後にカード検証コードを保存してはなりません。また、オープンなパブリックネットワーク間でカード会員データの送信が暗号化されるようにします。
3. 脆弱性管理プログラムの維持
マルウェアからシステムを保護し、安全なシステムとソフトウェアを開発します。これには、パッチの適用スケジュール、脆弱性スキャン、アプリケーションのセキュリティテストなどが含まれます。
4. 強固なアクセス制御対策の導入
カード会員データは、知る必要がある人だけに制限する必要があります。一意の認証情報を使用してすべてのユーザーを特定して認証し、カード会員データを保存または処理するシステムへのアクセスを物理的に制限します。
5. ネットワークの監視とテスト
ネットワークリソースとカード会員データへのすべてのアクセスを監視し、ログを記録します。セキュリティシステムとプロセスを定期的にテストします。複数の環境にわたって、脆弱性スキャンとペネトレーションテストを実施します。
6. 情報セキュリティポリシーの維持
全従業員を対象とする情報セキュリティに対応し、トレーニングと明確な説明責任を含むポリシーを維持します。
ニュージーランドのビジネスがオンラインまたは対面決済のソリューションを適切に導入している場合、これらの要件の一部はプロバイダーの責任となる場合があります。
ニュージーランドの企業が PCI 準拠で直面する課題
PCI に準拠することは、予測可能な形でニュージーランドの企業をつまずかせる可能性があります。どこで問題が発生するかを可視化できれば、コンプライアンスは管理しやすくなります。
予想より大きな範囲
コンプライアンスに関する一般的な問題は、CDE の範囲を過小評価していることです。CDE に接続されているシステムはすべて、認識しているかどうかに関わらず、PCI DSS 要件の対象となります。企業は、データフローのマッピングを開始すると、CDE が想定よりもはるかに大きいことに気付く場合があります。
従来型インフラ
ニュージーランドの多くの企業は、PCI DSS 4.0 向けに設計されていない古い POS (POS) ハードウェアやオンプレミスソフトウェアを実行している可能性があります。アップグレードは高額で支障をきたす場合があります。従来のシステムでコンプライアンスを維持することは、複雑さが増すことを意味します。
外部委託の適用範囲の誤解
PCI に準拠した決済代行業者を使用したからといって、自動的にビジネスが準拠するわけではありません。たとえば、ウェブサイトに脆弱性があり、プロバイダーの決済フォームに到達する前に攻撃者がカードデータを傍受できる場合、その侵害はお客様の問題になります。お客様の責任とプロバイダーの責任の境界を明確に定義する必要があります。
スタッフの離職とトレーニングのギャップ
PCI DSS では、カード会員データを扱うすべての担当者にセキュリティ意識向上トレーニングを実施することが義務付けられています。離職率の高い業界では、トレーニングを最新の状態に保つのが難しい場合があります。
SAQ 選択の問題
適切な SAQ を選択していることを確認してください。SAQ A の資格があると考えていても、実際にはカード会員データの処理に何らかの形で関与し続けている企業は、そのコンプライアンス義務を大幅に過小報告している可能性があります。
ニュージーランドの企業が PCI 準拠を確保する方法
コンプライアンスの負担を軽減する良い方法は、カード会員データ環境を縮小することです。
以下のアプローチをご検討ください。
カードデータをシステムから切り離す決済代行業者を使用する
トークン化やホストされた決済フィールドを使用する Stripe のような決済代行業者は、カードデータを自社の環境に直接収集するため、サーバーが生のカード番号を受信することはありません。これは、PCI サービスプロバイダーレベル 1 の認定と組み合わせることで、多くの企業のコンプライアンスの道のりを簡素化できます。
まずデータフローをマッピングする
カード会員データの行き先を把握していなければ、PCI 評価の範囲を定めることはできません。カードデータに触れる可能性のあるすべてのシステムを厳密にマッピングします。その後、新しい連携を追加したり、決済フローを更新したり、顧客関係管理 (CRM) システムを変更したりするたびに、マップも更新します。
適切な SAQ を取得する
SAQ を選択する前に、アクワイアラーまたは QSA にご相談ください。カードネットワークは SAQ の資格基準を公開していますが、正しい決定が常に明白であるとは限りません。初期段階で間違った選択をすると、その後のすべてのコンプライアンス決定でエラーが蓄積されます。
ペネトレーションテストを真剣に受け止める
ペネトレーションテストは、コンプライアンスの成功に大きな影響を与えます。決済画面、認証メカニズム、内部ネットワークのセグメンテーションを含む CDE の本格的なテストにより、自動スキャンでは見逃される脆弱性を発見できます。
明確な社内の責任者を割り当てる
IT 部門、CFO、または最初に決済システムを設定した担当者など、誰かが対応していると想定していると、PCI 準拠に抜け穴が生じる可能性があります。各要件は、指定された担当者に割り当てる必要があります。
反証資料の収集を業務に組み込む
評価者は反証資料を要求します。脆弱性スキャン、アクセスログ、トレーニング修了記録、パッチ履歴が存在し、取得可能である必要があります。これらのドキュメントを通常の業務に組み込むことは、評価の前に再構築するよりもはるかに負担が少なくなります。
Stripe Connect でできること
Stripe Connect は、ソフトウェアプラットフォームやマーケットプレイスにおける複数者間での資金移動を可能にするツールです。スムーズなアカウント登録、組み込みコンポーネント、グローバル入金などの機能を備えています。
Connect の機能
数週間でローンチ: Stripe がホストする機能、または組み込み機能を活用して本番環境にスピーディーに移行できます。ペイメントファシリテーションに通常必要となる初期費用や開発時間を抑えられます。
大量の決済取引を管理: Stripe のツールやサービスを利用することで、専任の人材がいなくても、マージンレポート、納税申告書、リスク管理、世界各国の決済手段、アカウント登録の法規制などに対応できます。
グローバルに成長: 国内主要決済手段や、売上税、VAT、GST を簡単に計算する機能を活用することで、ユーザーが世界中のより多くの顧客にリーチできるよう支援します。
新しい収益源の構築: 各取引ごとの手数料徴収による決済収益の最適化。プラットフォーム上で対面決済、即時入金、消費税徴収、融資、経費用カードなどの機能を有効化することによる Stripe の機能の収益化
この記事の内容は、一般的な情報および教育のみを目的としており、法律上または税務上のアドバイスとして解釈されるべきではありません。Stripe は、記事内の情報の正確性、完全性、妥当性、または最新性を保証または請け合うものではありません。特定の状況については、管轄区域で活動する資格のある有能な弁護士または会計士に助言を求める必要があります。