2020.03.31

【2020年完全版】PCI DSS準拠について徹底解説 -PCI DSSとは? 準拠のメリット・ 認証取得の方法・要件へのセキュリティ対策-

  • このエントリーをはてなブックマークに追加

PCI DSS(ペイメントカード業界データセキュリティ基準)とは


PCI DSS(Payment Card Industry Data Security Standard の略)とは、クレジットカード会員の情報を保護することを目的に定められた、クレジットカード業界の情報セキュリティ基準です。

PCI DSSは2004年に国際カードブランドのAmerican Express、Discover、JCB、MasterCard、VISAの5社によって策定されました。現在はその5社が共同設立した組織であるPCI SSC(PCI Security Standards Council)によって運営/管理されています。※Diners Club は Discover のグループであり、PCI DSS においては Discover の基準を適用している。
安全なネットワークの構築やカード会員データの保護など、12 の要件に基づいて約 400 の要求事項から構成されており、「準拠」とは、このうち該当する要求事項に全て対応できていることをいいます。PCI DSS 準拠の検証方法としては、①オンサイトレビュー(認定セキュリティ評価機関(QSA)による訪問審査)又は②自己問診(SAQ、自己評価によって PCI DSS 準拠の度合いを評価し、報告することができるツール)による方法があります。

PCI DSSが策定されるまでは、カードブランドなどが独自にセキュリティ基準を定めていたため、加盟店は各ブランドの求める要求に応える必要がありました。しかし、現在はひとつの加盟店で複数のカードが使える仕組みが一般的なため、各ブランドの要求に対応するのは、非常に大きな負荷となっていました。

一方で、サイバー攻撃は巧妙化かつ多様化し、その結果、カード会員データの流出事故は大規模になってきました。このような状況のため、American Express、Discover、JCB、MasterCard、VISAの5社は共同で、セキュリティリスクの低減と効率的な運用を目的として、クレジットカード情報保護のための統一的なセキュリティ基準を策定。それがPCI DSSです。



クレジットカード取り扱い事業者が実施すべきセキュリティ対策

クレジットカード取り扱い事業者が実施するべきセキュリティ対策として、クレジット取引セキュリティ対策協議会が取りまとめた、「クレジットカード・セキュリティガイドライン」に基づいた対策が必要です。このガイドラインは、セキュリティ対策置の実務上の指針と位置づけられていた「クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画」(実施期限は2020年3月末)の後継文書となります。

クレジットカード・セキュリティガイドラインは、「割賦販売法(後払分野)に基づく監督の基本方針」において割賦販売法で義務付けられているカード番号等の適切管理及び不正利用防止措置の実務上の指針として位置付けられるものです。本ガイドラインに掲げる措置又はそれと同等以上の措置を講じている場合には、セキュリティ対策に係る法令上の基準となる「必要かつ適切な措置」を満たしていると認められます。

■必要なセキュリテュ対策内容とは

[1]クレジットカード情報保護対策として「カード情報の非保持化」をおこなうこと。カード番号等を保持するのであればカード情報セキュリティの国際基準であるPCI DSSに準拠すること。

[2]クレジット偽造防止による不正利用対策としてICカードによる決済ができる端末を設置すること。非対面取引におけるクレジットカードの不正利用対策として、なりすましによる不正利用を防止するための対策をとること。

■セキュリティ対策に関わる改正割賦販売法からの抜粋

ポイント 内容
(第35条の1)
クレジットカード番号等取扱業者
・1号事業者 イシュア
・2号事業者 アクワイアラ
・3号事業者 加盟店
(第35条の16)
クレジットカード情報の適切な管理等
・カード情報の非保持化あるいはPCI DSS準拠
・委託先の情報管理に係る指導等の義務
(第35条17の15)
クレジットカードの不正使用対策の義務
・クレジット決済端末のIC化
・ネット上のなりすまし対策




PCI DSSへの具体的なセキュリティ対応 、準拠方法について

PCI DSSへの具体的な対応方法は、カード情報の取扱い形態や規模によって、3つの方法があります。

種類 対応方法
訪問審査 PCI国際協議会によって認定された審査機関(QSA)による訪問審査を受けて、認証を得る。QSAの一覧は、PCI国際協議会のサイトに掲示されています。カード発行会社をはじめ、情報の取扱い規模の大きな事業者に、要請されている方法です。
サイトスキャン WEBサイトから侵入されて、情報を盗み取られることがないか、PCI国際協議会によって認定されたベンダー(ASV=Approved Scanning Vendor) のスキャンツールによって、四半期に1回以上の点検を受けて、サイトに脆弱性のないことの認証を得る。ASVの一覧は、PCI国際協議会のサイトに掲示されています。カード情報の取扱いが中規模、およびインターネットに接続している事業者には必須の方法です。
自己問診 PCIDSSの要求事項に基づいた、アンケート形式によるチェック項目に回答して、すべて「Yes」であれば、準拠していると認められます。カード情報取扱い件数の比較的少ない、一般加盟店などの事業者向けの方法です。当初のVer1.0は、セキュリティに関するITの専門用語が並んでいて、一般の商店経営者の方がこの設問を理解するのは、かなりたいへんな内容でした。そこで2008年2月に改訂されたVer1.1では、一般加盟店やサービスプロバイダーなどの形態別に分けて制作され、PCIDSSを理解いただけるよう、工夫されています。




PCI SSCが提供するDocument Library

▼参考:PCI Data Security Standard Self-Assessment Questionnaireはこちらから
https://www.pcisecuritystandards.org/document_library




認定審査機関(QSA=Qualified Security Assessor)について

日本国内においてPCI DSSの審査が可能なQSA(認定審査機関)は、下記のPCI SSCのサイトで、実施場所や言語で絞り込むことで、認定審査機関(QSA)の一覧が確認できます。クレジットカード情報を保存、処理、通貨する企業で、例えば、カード加盟店やカード会社、銀行、決済代行、BPO事業者などのサービス・プロバイダーが対象です。




認定審査機関(QSA)の一覧

▼最新の認定審査機関はこちらから
https://www.pcisecuritystandards.org/assessors_and_solutions/qualified_security_assessors
また、QSA企業一覧は日本カード情報セキュリティ協議会(JCDSC)のQSA/ASV企業一覧のページにも掲載されています。



PCI DSSで求められる要件

具体的にどのような基準が定められているのか、PCI DSSでは6つの目標とそれに対応する12の要件が定められています。また、カード会員データを扱う範囲と保護が必要な箇所が特定することで、効率的な準拠が実現できます。具体的にPCI DSSで定められている6つの目標とそれに対応する12の要件は以下となります。


6つの目標 12の要件
安全なネットワークとシステムの構築と維持 要件1 カード会員データを保護するために、ファイアウォールをインストールして構成を維持する
要件2 システムパスワードおよび他のセキュリティパラメータにベンダ提供のデフォルト値を使用しない
カード会員データの保護 要件3 保存されるカード会員データを保護する
要件4 オープンな公共ネットワーク経由でカード会員データを伝送する場合、暗号化する
脆弱性管理プログラムの維持 要件5 すべてのシステムをマルウェアから保護し、ウイルス対策ソフトウェアまたはプログラムを定期的に更新する
要件6 安全性の高いシステムとアプリケーションを開発し、保守する
強力なアクセス制御方法の導入 要件7 カード会員データへのアクセスを、業務上必要な範囲内に制限する
要件8 システムコンポーネントへのアクセスを識別・認証する
要件9 カード会員データへの物理アクセスを制限する
ネットワークの定期的な監視およびテスト 要件10 ネットワークリソースおよびカード会員データへのすべてのアクセスを追跡および監視する
要件11 セキュリティシステムおよびプロセスを定期的にテストする
情報セキュリティポリシーの整備 要件12 すべての担当者の情報セキュリティに対応するポリシーを維持する


PCI DSSは、国際ブランドであるVisa、Mastercard、American Express、JCB、Discoverの5社によって設立されたPCIセキュリティ基準審議会(PCI SSC)によって維持管理され、PCI DSSは民間団体が発行した基準ですが、事実上のカードセキュリティの世界標準となっています。



PCI DSS準拠 成功事例

“ 新サービスの宿泊予約エンジン「メトロブッキング」に必須とな る、PCI DSS 準拠のシステムを1ヵ月で構築。
低コストで、スピード感あるローンチに成功しました ”

■ AWSで実現したPCI DSS準拠 : 1ヵ月でシステム構築。低コストで、スピード感あるローンチに成功した事例


PCI DSS準拠への対応プロセス


▼PCI DSS対象範囲策定
クレジットカード会員情報の取り扱い範囲特定し、PCI DSS準拠対応が必要な範囲を確定します。PCI DSS準拠対応においては、この最初の対象範囲を確定する作業がとても重要な作業となります。

▼FIT&GAP分析、対応方法の検討(ツール/サービス選定)
現在のセキュリティ対策状況を洗い出し、PCI DSSの要求事項とギャップ分析を行います。分析結果に基づいて、対応策の検討を行います。

▼システムへの実装と文書作成
システム仕様の策定をおこない、実装および運用手順/帳票などのポリシー文書作成を行います。また、執務エリアや店舗など環境整備も必要です。

▼運用と審査
内部スキャンや外部スキャン、ペネトレーションテストをを行います。検出事項への対応から、審査機関(QSA)へ提出する各種ドキュメント準備をおこないます。




PCI DSSの準拠対応後

PCI DSS 準拠は、お客様ビジネスの保護に不可欠な一手ですが、それだけでは十分ではありません。日々の運用改善、継続的な努力が必要です。企業が成長するにつれ、また時代とともにリスクも大きく変化しますので、各事業者は、最新の情報に基づいて、多面的・重層的な対策をする必要があります。



PCI DSS準拠のためのコンサルティング/クラウドサービス

プライベートクラウド環境を利用したい決済代行事業者、サービスプロバイダー、BPO事業者等向けにPCI DSS Ready CloudはPCI DSSの全要件の準拠を支援します。

■ PCI DSS に準拠するために 必要なリソースを全てクラウド上で提供する「PCI DSS Ready Cloud」

決済ソフトウェア会社、カード会社、スタートアップ事業者、Fintec事業者向けにAWSに最適化されたPCI DSS Ready CloudでPCI DSSの全要件の準拠を支援します。

■ AWSでの開発事業者や外部ベンダー/事業者との専用線接続がない場合に最適「PCI DSS Ready Cloud AWSモデル」

PCI DSS準拠またはクレジットカード情報非保持化に伴う、PCI DSS対象範囲の策定、ギャップ分析、最適なツールやサービス選定支援、ドキュメント作成支援、審査支援まで幅広くサービスを提供します。

■ 国内トップクラスのPCI DSS専門のコンサルタント集団によるPCI DSS準拠支援サービス

コールセンターで保存、処理、通過されるクレジットカード情報を、セキュリティを確保しながら取り扱うことができる PCI DSS要件に準拠済みのクラウド PBX サービスを、低コストで提供しています。

■ 導入実績 No.1 のBIZTELをPCI DSS準拠! PCI DSS準拠済みのクラウド型コールセンターサービス



この記事が気に入ったら
いいね!しよう

PCI DSS 関連の最新記事をお届けします

  • このエントリーをはてなブックマークに追加