個人情報保護・機密保持（PCI DSS など）

収納代行サービスは、顧客の氏名・住所だけでなく、銀行口座番号やクレジットカード情報といった「高度な個人情報」を扱うサービスです。
そのため、導入企業には個人情報保護法への適合だけでなく、強固な機密保持・セキュリティ体制が求められます。

特にクレジットカード決済を取り扱う場合、国際的なセキュリティ基準である「PCI DSS」への対応も不可欠な要素となります。

本コラムでは、収納代行サービスを安全に運用するために必要な以下の知識を解説します。

• 収納代行における個人情報保護法上のポイント
• 機密保持の観点から見るセキュリティ対策
• PCI DSS の概要とメリット
• 実務で押さえるべき管理チェックポイント

収納代行サービスにおける個人情報の取り扱い範囲

収納代行で扱う「個人情報」とは

収納代行業務では、一般的な顧客情報に加え、流出時のリスクが高い金融情報を扱います。
これらはすべて「個人識別符号」や「要配慮個人情報」に準ずる、あるいはプライバシー性の高い情報として厳重な管理が必要です。

• 基本情報：氏名、住所、電話番号、メールアドレス
• 金融情報：銀行口座番号、支店名、口座名義、引落日
• 取引情報：支払い履歴、請求金額、購入商品内容
• カード情報：クレジットカード番号、有効期限、セキュリティコード（※非保持化対応が一般的）

なぜ個人情報保護が重要なのか

万が一、これらの情報が漏えいした場合、顧客に金銭的な被害が及ぶだけでなく、企業の社会的信用が失墜し、事業継続が困難になる恐れがあります。
特に金融情報は悪用されるリスクが高く、個人情報保護法においても漏えい時の報告義務や罰則が厳格化されています。

事業者と収納代行会社の「責任範囲」

「収納代行会社に委託しているから安心」ではありません。
個人情報の取得主体である事業者（導入企業）には、「委託先の監督義務」があります。
つまり、適切なセキュリティ体制を持つ収納代行会社を選定し、適切に管理・監督していなければ、法的な責任を問われる可能性があります。

個人情報保護法から見た収納代行サービスのポイント

個人情報保護法を遵守して収納代行サービスを利用するために、以下の4つのポイントを押さえておきましょう。

① 利用目的の特定と明示

個人情報を取得する際は、何のためにその情報を利用するのかを具体的に明示する必要があります。
「サービスの提供のため」といった曖昧な表現ではなく、「代金決済および収納代行会社への委託業務のため」など、第三者（収納代行会社）への提供・委託が含まれることをプライバシーポリシー等に明記しましょう。

② 委託契約の締結と再委託管理

収納代行会社へ業務を委託する場合、個人情報の取り扱いに関する委託契約（または秘密保持契約）の締結が必須です。
また、収納代行会社がさらに別の業者（例：請求書印刷会社、コールセンターなど）に業務を再委託する場合の管理体制についても、契約書で確認しておく必要があります。

③ 安全管理措置（物理・技術・組織）

個人データを安全に管理するための措置も重要です。

• 物理的措置：サーバー室や執務室への入退室管理、書類の施錠管理
• 技術的措置：アクセス権限の制限、データの暗号化、不正アクセス検知システムの導入
• 組織的措置：担当者への定期的なセキュリティ教育、社内ルールの整備

④ 情報漏えいの報告義務（2022年改正）

2022年の改正個人情報保護法により、一定規模以上の漏えいや、不正アクセスによる漏えいが発生した場合、個人情報保護委員会への報告および本人への通知が義務化されました。
万が一の際に、収納代行会社と事業者がどのように連携して報告を行うか、事前に役割分担を整理しておくことが重要です。

機密保持の観点から見る収納代行サービスのチェックポイント

法律だけでなく、実務的な「機密保持」の観点からも、収納代行サービスのセキュリティレベルをチェックしましょう。

① アクセス権限・ログ管理

管理画面において、「誰が・いつ・どのデータに」アクセスしたかが記録（ログ保存）されているかを確認してください。
また、担当者ごとにIDを発行し、閲覧・編集権限を細かく設定できる機能があるかどうかも、内部不正防止の観点で重要です。

② データ暗号化と通信の安全性

インターネットを経由してデータを送受信するため、SSL/TLSによる通信の暗号化は必須です。
さらに、サーバーに保存されているデータそのもの（静的データ）が暗号化されているか、API連携時にIPアドレス制限などのセキュリティ対策が取れるかも確認しましょう。

③ 従業員の秘密保持・教育体制

システムが堅牢でも、人が情報を持ち出せば意味がありません。
収納代行会社が従業員とNDA（秘密保持契約）を結んでいるか、定期的なセキュリティ研修を実施しているかといった人的な管理体制も評価ポイントです。

④ データ保管場所（国内／海外）の扱い

利用するサーバーが国内にあるか、海外にあるかも重要です。
海外のクラウドサーバーを利用している場合、その国の法律による影響を受けるリスク（越境データ移転）があるため、サーバーの所在国や管理状況について透明性がある企業を選びましょう。

クレジットカード情報を扱う場合に必須の「PCI DSS」とは

PCI DSSの概要

PCI DSS（Payment Card Industry Data Security Standard）とは、国際的なカードブランド（Visa, MasterCard, JCBなど）が策定した、クレジットカード情報の保護に関するセキュリティ基準です。
カード情報を「保存・処理・通過」させる事業者に対し、強固なネットワーク構築やアクセス管理、定期的なテストなどを義務付けています。

収納代行サービスがPCI DSSに準拠しているメリット

PCI DSSに準拠している収納代行サービスを利用することは、すなわち世界基準のセキュリティレベルでカード情報が守られていることを意味します。
情報漏えいのリスクを極小化できるだけでなく、万が一の際にも、事業者が「適切な委託先を選定していた」という証明になり、法的・ブランド的リスクの軽減につながります。

PCI DSSが必要になるケース

基本的に、クレジットカード決済を取り扱うすべての事業者が対象となりますが、特に以下のようなケースではPCI DSS準拠のサービス利用が強く推奨されます。

• 収納代行会社がカード番号を保持・処理する場合
• 自社サイト内で決済画面（API型など）を実装する場合
• カード決済の比率が高く、漏えい時のインパクトが大きい業態

※近年では、カード情報を自社サーバーで通過させない「非保持化対応（トークン決済やリンク型決済）」を導入することで、事業者側のPCI DSS準拠負担を軽減する方法が一般的です。

収納代行サービス選定時に見るべき「個人情報保護・機密保持」チェックリスト

安全なサービスを選ぶために、以下の項目をチェックリストとして活用してください。

① セキュリティ認証の有無

• PCI DSS（クレジットカード情報を扱う場合）
• プライバシーマーク（Pマーク）
• ISO27001（ISMS）

② 委託・再委託の管理体制

• どのような業務を委託・再委託しているか開示されているか
• 再委託先の管理・監督方針が明確か

③ データ保管・削除ルール

• 解約後や保存期間終了後のデータ削除ルールが決まっているか
• 削除証明書の発行が可能か

④ インシデント対応体制

• 24時間365日のシステム監視体制があるか
• 障害や漏えい発生時の緊急連絡フローが確立されているか

⑤ 管理画面の権限・操作ログ

• 役割（経理・管理者など）に応じた権限設定が可能か
• 操作ログの閲覧・ダウンロードが可能か

事業者が自社内で整えておくべき運用ルール

最後に、収納代行サービスを利用する事業者自身（自社）の運用体制も重要です。
どれだけ安全なツールを使っても、自社のPC管理やパスワード管理がずさんであれば意味がありません。

• 管理画面のID・パスワードを使い回さない（個人ごとに発行する）
• 定期的に操作ログをチェックし、不審なアクセスがないか確認する
• 従業員に対し、フィッシングメール対策や情報持ち出し禁止の教育を行う
• 業務フローをマニュアル化し、特定の担当者しか操作できない「属人化」を防ぐ

まとめ｜個人情報保護・機密保持は「収納代行選び」の最重要項目

収納代行サービスは、企業の資金繰りを支える重要なインフラであると同時に、高度な個人情報を扱うリスクの高いポイントでもあります。
「機能や料金」だけでなく、「個人情報保護・機密保持・PCI DSS」といったセキュリティ面を最優先にサービスを選定することが、企業の信頼を守る第一歩です。

法律とセキュリティの知識を武器に、自社にとって最適かつ安全なパートナーを選びましょう。
関連する法律知識や運用フローについては、以下の記事もあわせてご覧ください。

よくある質問（Q＆A）

Q1. 収納代行会社に業務を委託した場合、自社の「個人情報保護」の責任はなくなりますか？

A. いいえ、責任はなくなりません。個人情報保護法において、委託元（事業者）には「委託先の監督義務」が課せられています。適切なセキュリティ体制を持つ収納代行サービスを選定し、定期的に安全性が保たれているかを確認し続けることが、事業者の重要な責務となります。

Q2. クレジットカード情報の「非保持化」に対応するメリットは何ですか？

A. 事業者様のサーバーを通さずに決済情報を代行会社へ直接送ることで、自社でカード情報を保持・処理する必要がなくなります。これにより、万が一自社サイトが攻撃を受けてもカード情報が漏洩するリスクを排除できるだけでなく、事業者側におけるPCI DSS準拠の負担を大幅に軽減できるという実務上のメリットがあります。

Q3. 代行会社が「再委託」を行っている場合、セキュリティ体制はどのように確認すべきですか？

A. 契約書において、再委託時の事前承諾義務や、再委託先に対しても同等のセキュリティ基準を課しているかを確認してください。PマークやISMSを取得している業者の多くは再委託先の管理規定を設けていますが、印刷会社や配送業者など、どの範囲まで情報が共有されるかを事前に把握しておくことが機密保持の観点で重要です。

Q4. サービスの利用を解約した後、代行会社に預けていた顧客データや口座情報は消去されますか？

A. 原則として、契約終了後には定められた期間を経て適切に消去されます。より安全性を期すのであれば、解約時に「データ消去証明書」の発行依頼ができる業者や、約款にデータの破棄方法が明記されている収納代行サービスを選ぶことで、退会後の情報漏洩リスクを最小限に抑えられます。

Q5. 自社内のスタッフによる「内部不正」や誤操作を防ぐための管理機能はありますか？

A. 多くの管理システムでは、担当者ごとにIDを発行し「閲覧のみ」「編集可能」といった権限を細かく制限する機能があります。また、操作ログ（いつ、誰が、どのデータをダウンロードしたか）を記録・保存できるシステムを活用することで、内部からの情報持ち出しに対する抑止力を高め、原因究明を容易にする体制を整えることができます。