PCI DSS2026.06.15
PCI DSS準拠を目指すお客様から、「トランケートされたPANのみを扱っていれば、PCI DSSの対象外ですか?」というご相談をいただくことがあります。
トランケートされたPANの取扱いについては、PCI SSC(Payment Card Industry Security Standards Council)の公式FAQ 1117で言及されています。
本稿は、トランケートされたPANのみを扱う環境におけるPCI DSSの適用可否について、その技術的注意点を解説します。
FAQ 1117では、トランケートされたPANのみを保存、処理、または送信するシステムについて、以下の条件を満たす場合にPCI DSSの適用範囲外と見なされる可能性があるとしています。
「トランケートされたPANのみを扱えば即座にPCI DSSの対象外になる」という解釈は誤解を招く恐れがあり、実務上は以下の点に留意する必要があります。
これらのページが改ざんされると、
FAQ 1117は、短縮PANの利用がスコープ削減の寄与因子となる可能性を示唆していますが、それはあくまで「説明可能な設計」と「客観的な証跡」が整備されていることが前提です。
加盟店においては、自社のデータフローにおいてPANが完全に排除されているか、あるいは復元不可能な状態で分離されているかを精査し、必要に応じて審査機関(QSAC)やアクワイアラーとの合意形成を図ることが推奨されます。
<参考URL>
この記事をシェアする
PCI DSS Ver4.0.1 SAQ(D-SP)
記入例サンプル提供サービス
新書式への対応を最短支援。記載例サンプルや自社内にサーバ類を多くお持ちの環境向けサンプルなど、実践的な記載文面を多く含むサンプルをご提供予定です。
クレジットカード業界の国際的セキュリティ基準 “PCI DSS” “PCI P2PE” “PCI 3DS”への準拠をめざす企業を支援しています。
“PCI DSS” “PCI P2PE” “PCI 3DS”の準拠維持におけるコンサルティングサービスを提供しています。
“PCI DSS” への準拠及び維持に役立つ各種ソリューションを提供しています。