トップへ戻る

技術情報/コラム TECHNICAL INFORMATION/COLUMN

PCI DSS2026.06.15

トランケートされたPANのみを扱う加盟店へのPCI DSS適用範囲について

概要

PCI DSS準拠を目指すお客様から、「トランケートされたPANのみを扱っていれば、PCI DSSの対象外ですか?」というご相談をいただくことがあります。

トランケートされたPANの取扱いについては、PCI SSC(Payment Card Industry Security Standards Council)の公式FAQ 1117で言及されています。

本稿は、トランケートされたPANのみを扱う環境におけるPCI DSSの適用可否について、その技術的注意点を解説します。

FAQ 1117の要旨

FAQ 1117では、トランケートされたPANのみを保存、処理、または送信するシステムについて、以下の条件を満たす場合にPCI DSSの適用範囲外と見なされる可能性があるとしています。

  • 当該システムが、カード保有者データ環境(CDE)から適切に区分されていること
  • カード保有者データ(CHD)や機密認証データ(SAD)を保存、処理、送信しないこと

実務上の注意点と「適用外」と判断できないリスク

「トランケートされたPANのみを扱えば即座にPCI DSSの対象外になる」という解釈は誤解を招く恐れがあり、実務上は以下の点に留意する必要があります。

これらのページが改ざんされると、

  1. PANの復元可能性
    単一のシステム内でトランケートされたPANのみを扱っていても、複数の異なるトランケートの形式のデータを組み合わせることで完全なPANが再構成(復元)できる状況にある場合、依然としてPCI DSSの適用対象となります。
  2. 統制の実装状況
    適用範囲外とするためには、データの論理的な分離や、他データとの相関によるPAN特定を防止する統制が適切に実装されていなければなりません。特にトークン化や暗号化を併用している環境では、暗号鍵の管理やアクセス制御の設計が極めて重要な要素となります。
  3. 判断主体の所在
    技術的に要件を満たしていると判断される場合でも、最終的な適用範囲の除外を承認するのは加盟店自身ではなく、アクワイアラー(加盟店契約会社)または決済カードブランドです。

結論

FAQ 1117は、短縮PANの利用がスコープ削減の寄与因子となる可能性を示唆していますが、それはあくまで「説明可能な設計」と「客観的な証跡」が整備されていることが前提です。

加盟店においては、自社のデータフローにおいてPANが完全に排除されているか、あるいは復元不可能な状態で分離されているかを精査し、必要に応じて審査機関(QSAC)やアクワイアラーとの合意形成を図ることが推奨されます。

<参考URL>

この記事をシェアする

関連記事

関連記事を見る

関連サービス

技術情報/コラム一覧へ戻る