PCI DSSで定められている6つの目標と12の要件とは？

本ブログでは、PCI DSSの基本的な考え方の一つである6つの目標と12の要件、並びにPCI DSS準拠が必要な企業とはを解説します。

PCI DSSはカード情報を守る最低限の基準

最後に、前節で「カード情報を自社システムで扱うための基準」として紹介したPCI DSSについて簡単に解説します。

PCI DSSは、「Payment Card Industry Data Security Standard」の頭文字をとった名称で、国際的なクレジット産業向けのデータセキュリティ基準をさします。「安全なネットワークとシステムの構築と維持」「カード会員データの保護」「脆弱性管理プログラムの維持」「強力なアクセス制御手法の導入」「ネットワークの定期的な監視およびテスト」「情報セキュリティポリシーの維持」という6つの目標を達成するために、クレジットカード情報を扱うシステムが満たすべき要件を12のカテゴリーで設定しています。

PCI DSS 6つの目標と12の要件

PCI DSSは、国際ブランドであるVisa、Mastercard、American Express、JCB、Discoverの5社によって設立されたPCIセキュリティ基準審議会（PCI SSC）によって維持管理され、2018年4月末現在の最新バージョンはv3.2ですが、5月中にはv3.2.1となることがアナウンスされています。PCI DSSは民間団体が発行した基準ですが、事実上のカードセキュリティの世界標準となっています。

誰がPCI DSSに準拠する必要があるのか？

一般に「カード会社」と呼ばれる企業には、VisaやMastercardなどの国際ブランドと契約して加盟店との契約や決済と精算業務を行うカード会社（アクワイアラ）と同じく国際ブランドと契約してカード会員に対してクレジットカード発行業務を行うカード会社（イシュア）の2種類があります。カード会員がカードを加盟店に提示すると、その情報は決済ネットワークを通してアクワイアラに送られ、さらにイシュアへと連携されます。この過程でカード情報が通過・処理・保存される事業者は、外部の業務委託先も含め、全てPCI DSSに準拠しなくてはなりません。

日本政府は、2020年の東京オリンピック・パラリンピック開催を踏まえ、キャッシュレス決済普及と訪日外国人増加を踏まえたATMの海外発行カードの対応やカードを消費者が安心して利用できる環境整備に向けた対策の取りまとめを関係省庁に指示しました。これを受け、経済産業省をオブザーバーとしたクレジット取引セキュリティ対策協議会が、「クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画」（以下実行計画）を2016年から発行しており、2020年まで毎年アップデートが行われます。

実行計画内では、クレジットカード取引にかかわる事業者の種類別に、PCI DSS準拠の期限が決められています（加盟店についてはカード情報の非保持化も選択可能）。間に合わなかった場合、罰則規定はありませんが、決済代行事業者についてはアクワイアラは契約を見直すよう求められています。また2018年6月1日に施行される改正割賦販売法では、加盟店もカード情報保護について法律上の義務を負い、アクワイアラからの指導強化や、最悪の場合は加盟店契約が解除になるといった影響が考えられます。

クレジットカード取引のセキュリティ対策として進められているPCI DSS準拠の取り組みですが、アメリカではPCI DSS準拠済みの加盟店やサービスプロバイダーでもカード情報流出事件は発生しています。PCI DSSは万全ではありません。あくまでも最低限のセキュリティ対策であり、PCI DSSに準拠した上で、さらに各社が自社に必要なセキュリティ対策を講じることが大切です。

（監修：ｆｊコンサルティング　代表取締役CEO　瀬田　陽介）