2021.01.10

どの企業がPCI DSSに準拠する必要があるのか? PCI DSSとはカード情報を守る6つの目標と12の要件

  • このエントリーをはてなブックマークに追加
【2021年完全版】PCI DSS準拠について徹底解説 -PCI DSSとは? 準拠のメリット・ 認証取得の方法・要件へのセキュリティ対策-

本ブログでは、PCI DSSの基本的な考え方の一つである6つの目標と12の要件、並びにPCI DSS準拠が必要な企業とはを解説します。

PCI DSSはカード情報を守る最低限の基準

最後に、前節で「カード情報を自社システムで扱うための基準」として紹介したPCI DSSについて簡単に解説します。

PCI DSSは、「Payment Card Industry Data Security Standard」の頭文字をとった名称で、国際的なクレジット産業向けのデータセキュリティ基準をさします。「安全なネットワークとシステムの構築と維持」「カード会員データの保護」「脆弱性管理プログラムの維持」「強力なアクセス制御手法の導入」「ネットワークの定期的な監視およびテスト」「情報セキュリティポリシーの維持」という6つの目標を達成するために、クレジットカード情報を扱うシステムが満たすべき要件を12のカテゴリーで設定しています。

PCI DSS 6つの目標と12の要件

安全なネットワークとシステムの構築と維持
要件1 カード会員データを保護するために、ファイアウォールをインストールして構成を維持する
要件2 システムパスワードおよび他のセキュリティパラメータにベンダ提供のデフォルト値を使用しない
カード会員データの保護
要件3 保存されるカード会員データを保護する
要件4 オープンな公共ネットワーク経由でカード会員データを伝送する場合、暗号化する
脆弱性管理プログラムの維持
要件5 すべてのシステムをマルウェアから保護し、ウイルス対策ソフトウェアまたはプログラムを定期的に更新する
要件6 安全性の高いシステムとアプリケーションを開発し、保守する
強固なアクセス制御方法の導入
要件7 カード会員データへのアクセスを、業務上必要な範囲内に制限する
要件8 システムコンポーネントへのアクセスを識別・認証する
要件9 カード会員データへの物理アクセスを制限する
ネットワークの定期的な監視およびテスト
要件10 ネットワークリソースおよびカード会員データへのすべてのアクセスを追跡および監視する
要件11 セキュリティシステムおよびプロセスを定期的にテストする
情報セキュリティポリシーの維持
要件12 すべての担当者の情報セキュリティに対応するポリシーを維持する

PCI DSSは、国際ブランドであるVisa、Mastercard、American Express、JCB、Discoverの5社によって設立されたPCIセキュリティ基準審議会(PCI SSC)によって維持管理され、2018年4月末現在の最新バージョンはv3.2ですが、5月中にはv3.2.1となることがアナウンスされています。PCI DSSは民間団体が発行した基準ですが、事実上のカードセキュリティの世界標準となっています。

誰がPCI DSSに準拠する必要があるのか?

一般に「カード会社」と呼ばれる企業には、VisaやMastercardなどの国際ブランドと契約して加盟店との契約や決済と精算業務を行うカード会社(アクワイアラ)と同じく国際ブランドと契約してカード会員に対してクレジットカード発行業務を行うカード会社(イシュア)の2種類があります。カード会員がカードを加盟店に提示すると、その情報は決済ネットワークを通してアクワイアラに送られ、さらにイシュアへと連携されます。この過程でカード情報が通過・処理・保存される事業者は、外部の業務委託先も含め、全てPCI DSSに準拠しなくてはなりません。

日本政府は、2020年の東京オリンピック・パラリンピック開催を踏まえ、キャッシュレス決済普及と訪日外国人増加を踏まえたATMの海外発行カードの対応やカードを消費者が安心して利用できる環境整備に向けた対策の取りまとめを関係省庁に指示しました。これを受け、経済産業省をオブザーバーとしたクレジット取引セキュリティ対策協議会が、「クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画」(以下実行計画)を2016年から発行しており、2020年まで毎年アップデートが行われます。

実行計画内では、クレジットカード取引にかかわる事業者の種類別に、PCI DSS準拠の期限が決められています(加盟店についてはカード情報の非保持化も選択可能)。間に合わなかった場合、罰則規定はありませんが、決済代行事業者についてはアクワイアラは契約を見直すよう求められています。また2018年6月1日に施行される改正割賦販売法では、加盟店もカード情報保護について法律上の義務を負い、アクワイアラからの指導強化や、最悪の場合は加盟店契約が解除になるといった影響が考えられます。

クレジットカード取引のセキュリティ対策として進められているPCI DSS準拠の取り組みですが、アメリカではPCI DSS準拠済みの加盟店やサービスプロバイダーでもカード情報流出事件は発生しています。PCI DSSは万全ではありません。あくまでも最低限のセキュリティ対策であり、PCI DSSに準拠した上で、さらに各社が自社に必要なセキュリティ対策を講じることが大切です。

(監修:fjコンサルティング 代表取締役CEO 瀬田 陽介)

■関連記事
PCI DSSとは? 典型的なカード情報漏えいパターンと守るべきクレジットカード情報こちら
PCI DSS準拠の必要性 -クレジットカード漏洩時のビジネスインパクト- の記事はこちら

■ 関連サービスのご案内 : AWS を利用して PCI DSS 準拠をめざすユーザ向けのクラウドサービス「 PCI DSS Ready Cloud AWSモデル 」

この記事が気に入ったら
いいね!しよう

PCI DSS 関連の最新記事をお届けします

  • このエントリーをはてなブックマークに追加