トップへ戻る

技術情報/コラム TECHNICAL INFORMATION/COLUMN

PCI DSS2026.07.15

通話録音にカード検証コード(セキュリティコード)を残していませんか?
PCI DSSが求める音声データ管理

電話によるクレジットカード決済を受け付けるコールセンターや受注センターでは、応対品質の向上やトラブル対応を目的として通話録音を実施することが一般的です。しかし、顧客が読み上げたカード検証コード(CVV/CVC等)が録音データに残り、取引承認後も保持されている場合、PCI DSSで保存が禁止されている機密認証データ(SAD)の保管に該当する可能性があります。

PCI Security Standards Council(PCI SSC)は2025年6月にFAQ 1210を公開し、音声データに含まれる機密認証データ(SAD:Sensitive Authentication Data)の取り扱いについて改めて明確な見解を示しました。本コラムでは、FAQの内容を踏まえ、音声データ管理における注意点を解説します。

音声録音もPCI DSSにおける「保存」に該当する

PCI DSS要件3.3.1では、取引承認後の機密認証データの保存を禁止しています。機密認証データには、カード検証コード・値も含まれます。
FAQ 1210では、これらの情報が.wavや.mp3などの音声ファイルに記録されている場合も「保存」に該当すると明記されています。つまり、オペレーターと顧客の会話の中でカード検証コードが読み上げられ、その内容が録音データとして保存され、取引承認後も保持されている場合、PCI DSS要件3.3.1で禁止される機密認証データの保存に該当します。
また、「録音データを暗号化しているから問題ない」という考え方も認められていません。PCI DSSでは、カード検証コードの保存自体が禁止されているため、暗号化の有無は要件適合の判断材料にはならないのです。

なお、日本のクレジットカード・セキュリティガイドラインでは、加盟店におけるカード情報の「非保持化」が定義されています。同ガイドラインでは、一定の前提のもとで通話記録、音声データを含む、の保存は「保持」には該当しないとされています。一方、PCI DSSでは、音声データにカード検証コードなどの機密認証データが含まれている場合、その保存は禁止されています。そのため、ガイドライン上の非保持化を実現している加盟店であっても、PCI DSS準拠を目指す場合には、通話録音データの取り扱いについてPCI DSS側の要求を満たす必要があります。

カード検証コードを録音しないための対策

電話決済を行う事業者は、機密認証データが録音されないよう対策を講じることが求められます。
現在、カード情報入力時のみ録音を停止する機能を利用しているコールセンターも少なくありません。
また、録音後にカード情報が含まれる部分を自動的に編集・削除するソリューションも普及しています。

それでも録音を回避できない場合には、取引承認後に機密認証データを削除しなければなりません。この際、単純なファイル削除ではなく、復元できない状態まで安全に消去することが求められます。録音データの一部編集による除去や、専用ツールを用いたセキュアな削除などが代表的な対応方法です。

削除できない場合に求められる代替コントロール

法令上の保存義務やシステム上の制約などにより、機密認証データを含む録音データを削除できないケースも存在します。

ただし、PCI DSSでは、このような場合に単純に録音データを保管し続けることは認められていません。また、暗号化やアクセス制御などの対策を個別に実施するだけで要件を満たせるわけでもありません。
PCI DSSでは、正規の要件を満たせない正当な技術的または業務上の制約が存在する場合に限り、「代替コントロール(Compensating Controls)」の適用が認められています。代替コントロールは、元の要件が意図するセキュリティ目的を達成し、同等以上の防御レベルを提供するとともに、不足するリスクを十分に低減できることを示さなければなりません。そのため、Compensating Controls Worksheet(CCW)に基づき、要件を満たせない理由、発生する追加リスク、代替コントロールの内容、有効性の検証方法および維持管理方法を文書化することが求められます。FAQ 1210では、このような代替コントロールの一環として、年1回以上および環境変更時のリスク評価の実施、PCI DSS要件に基づく暗号化やアクセス制御の適用、録音データへのアクセスや検索機能の制限などを例示しています。さらに、実施した管理策やリスク評価結果を文書化し、コンプライアンスの証跡として保持することも重要です。これらの内容はPCI DSS審査において毎年検証され、必要に応じてアクワイアラやカードブランドへ提示することになります。加えて近年は、音声認識システムや文字起こしサービス、生成AIを活用した会話分析基盤の利用も増えています。録音データだけでなく、文字起こしデータや分析結果などの派生データにカード検証コードなどの機密認証データが残存していないか確認することも欠かせません。

まとめ

FAQ 1210は、「音声データであっても機密認証データの保存は禁止される」というPCI DSSの考え方を改めて明確化したものです。カード検証コードは暗号化の有無や利用目的に関係なく、取引承認後の保存が認められていません。電話決済を実施している事業者は、通話録音システムだけでなく、音声認識や文字起こし、生成AIによる分析環境まで含めて機密認証データの取り扱いを点検する必要があります。この機会に自社の録音環境を見直し、PCI DSS要件に適合した管理策が実装されているか確認してみてはいかがでしょうか。

【用語解説】

セキュリティコードとは:
クレジットカードの不正利用を防ぐための3桁または4桁の認証コードです。
主にインターネット通販などの非対面決済において、カード所持者本人であることを確認するために利用されます。
PCI DSSでは機密認証データ(SAD:Sensitive Authentication Data)として扱われ、承認後の保存は禁止されています。

磁気ストライプおよびICチップ内の認証値

カードの磁気ストライプやICチップに格納されている認証値を、各カードブランドでは以下の名称で呼んでいます。

  • Mastercard:CVC(Card Validation Code)
  • Visa:CVV(Card Verification Value)
  • JCB:CAV(Card Authentication Value)
  • American Express:CSC(Card Security Code)

これらはカード内部に記録された認証データであり、カード券面に印字されているセキュリティコードとは異なります。

カード券面に印字されたセキュリティコード

カード券面に印字されたセキュリティコードは、各カードブランドで以下の名称が使用されています。

  • Visa:CVV2(Card Verification Value 2)
  • Mastercard:CVC2(Card Validation Code 2)
  • JCB:CAV2(Card Authentication Value 2)
  • American Express:CID(Card Identification Number)

これらは主にECサイトなどの非対面取引において、カード利用者が実際にカードを所持していることを確認するために利用されます。

<参考URL>
PCI SSC FAQ 1210「音声録音や音声記録の中に機密認証データを含めることは許されていますか?」
https://www.pcisecuritystandards.org/faqs/1210/

この記事をシェアする

関連記事

関連記事を見る

関連サービス

技術情報/コラム一覧へ戻る