しかし実際の運用の場面では、お客様からクレジットカード番号の問い合わせがあったり、決済方法を変えたことをサービス側がすぐに知りたいという要望があったりして、部分的に情報を保存しているというシチュエーションもあります。さすがにクレジットカード番号全桁を保存したらNGですから、例えば最後の4桁とか有効期限とか。直接決済に結び付かない情報はOKということらしいので、ある程度は大丈夫なんでしょうけど、じゃあ実際のところどこまでだったら保存しても問題ないことになってるんでしょう?
一般社団法人日本クレジット協会による定義
こちらのFAQを見てみます。https://www.j-credit.or.jp/security/pdf/security_guideline_faq.pdf
Q. 「カード情報」からカード番号など直接決済に関係する情報を無くせばカード情報ではなくなるのか。また、
security_guideline_faq.pdf
カード情報はカード番号が無くとも他の情報(セキュリティコードなど)だけでもカード情報となるのか。
A. 「カード情報」とは、カード会員データ(クレジットカード番号、クレジットカード会員名、サービスコード、有効期限)及び機密認証データ(カード情報を含む全トラックデータ、CAV2/CVC2/CVV2/CIDいわゆるセキュリティコード、PIN又はPINブロック)を指しますが、カード会員データのうち、クレジットカード番号以外のデータのみであれば「カード情報」ではないとされております。
また、セキュリティコードやPIN/PINブロックは「機密認証データ」に該当するので、カード情報を保持する場合のカード情報保護対策を選択した場合でも、保存すること自体が禁止されています。
保存が禁止されているデータは
- クレジットカード番号
- セキュリティコードやPIN/PINブロックなど「機密認証データ」に該当するもの
でありクレジットカード番号以外の情報、例えばクレジットカード会員名や有効期限、クレジットカード番号の下4桁などであればセーフということですかね。ただそれらを保存しなくてもECシステムは作れるし、決済番号がわかれば決済会社の管理アプリケーションから会員情報はわかるし、保存しないで済むよう現場を説得する方が安全かなあとは思います。利便性はわかるんですけどね。
以上、メモでした。