従業員向けバーチャルカード導入ガイド｜ポリシー・コンプライアンス・Buvei 活用

はじめに

コンプライアンスのポイント（概要）

• カード会員データ保護のため PCI DSS v4.0 に準拠（2025 年 3 月 31 日より将来規定の要件が施行）
• 欧州取引では PSD2 に基づく強力な顧客認証（SCA） を適用

1. スコープ・ポリシー・コンプライアンスの定義

• 明確なユースケースを設定：出張・SaaS・広告費・使い切り支払い・手当
• 支出ポリシーを策定：チーム別月額上限・加盟店カテゴリ（MCC）・許可通貨・地域・承認閾値
• カードモデルを選択：
  • 従業員名義カード（継続的利用）
  • 使い切りカード（単発購入）
  • 予算ベースカード（プロジェクト別）

コンプライアンス・セキュリティ確認

• PCI DSS v4.0：カード情報を取り扱う場合、環境・ベンダーが v4.0 に適合（2025 年 3 月 31 日強制）
• 欧州 / 英国における SCA / 3DS2：2 要素認証を実装、発行体が 3DS2 に対応
• データ最小化：必要最小限の情報のみ収集（GDDPR 第 5 条 1 (c) など）
• KYC/KYB チェックリスト：法人書類・最終受益者・管理者権限・従業員認証
• リスク閾値：取引速度制限・加盟店許可 / 拒否リスト・地域制限

重要性

2. 発行体制と管理機能の構築

• 発行・処理業者を選定：API・ダッシュボードでのカード作成、ネットワークトークン化、3DS2 に対応
• 資金設定：法人共通残高・チーム別サブウォレット・銀行引き落とし、決済通貨・為替方針
• リアルタイム制御を有効化：
  • 取引 / 日 / 月単位の支出上限
  • MCC 制限（航空社許可・ギフトカード禁止など）
  • 期限付きカード（日時・予金額で自動失効）
  • 地域制限
  • カード状態切り替え（停止・終了・再発行）
• モバイルウォレット対応（Apple Pay/Google Pay）、加盟店固定カード
• 会計・ERP 連携：自動タグ付けによる決算効率化
• チャージバック・紛争処理手順（SOP）を整備

Buvei の活用イメージ

3. 従業員へのスムーズな導入

• 発行：従業員招待・HRIS 連携、役割ベースの上限設定、費用センター自動付与
• 研修（15 分程度）：上限変更・領収書添付・メモ記入・ブラウザ / ウォレット利用
• 承認フロー：
  • 一定金額以下：自動承認
  • 一定金額以上：マネージャー＋財務確認
  • 新規加盟店カテゴリ：審査対象
• 領収書管理：写真・メール転送義務化、未提出時にカード制限
• SaaS 管理：ツールごとに固定カードを発行し、シャドー支出を防止
• 出張：地域・MCC 制限付きの期限カード、1 日当たりの上限設定
• オフボーディング：退職時に自動失効、定期支払いをチームカードへ移行

Buvei の導入効率化

4. 継続的なモニタリング・決算・最適化

• ダッシュボード：予算消化・上位ベンダー・ポリシー違反を追跡
• アラート：決済拒否・閾値超過・海外取引を即時通知
• 決算：GL コード自動紐付け、領収書自動照合、毎月の差異分析
• セキュリティ：高リスクカードの定期ローテーション、3DS2/SCA、PCI 準拠、トークン化
• 監査証跡：変更履歴をタイムスタンプ付きで保存
• プログラム調整：MCC 許可リストの修正、年間請求への切り替え、SaaS 契約再交渉

Buvei の分析機能

結論