- BLOGトップ
- PCI SSCとは?おさえておきたい基本と設立背景などをチェック
クレジットカードの会員データを安全に取り扱うためにおさえておかなければならないのが、PCI DSSによるクレジットカード業界のセキュリティ基準です。PCI DSSとは何かについて確認しておきたい情報を解説します。
PCI SSCとは、「PCI Security Standards Council:PCIセキュリティスタンダードカウンシル」を略したもののことです。クレジットカード業界における世界的な規制機関のことを指しています。
世界中のクレジット決済に加え、決済のデータやプロセスといったものを保護する目的で設立されました。PCI SSCではクレジット業界のセキュリティを維持向上させ、支払いシステムを安全なものにしていくための取り組みを行っています。
また、情報セキュリティ基準である「PCI DSS」の運営を行っているのもPCI SSCです。主な活動としては、クレジットカードに関する国際的なセキュリティ基準の制定、運用、管理となっています。
国際カードブランド5社であるAmerican Express、Discover、JCB、Mastercard、VISAが共同で設立しました。
情報セキュリティ基準であり、その対象はカード会社・加盟店のほか、カード会員データや決済データを取り扱っている事業者のシステム全体にまでおよびます。
クレジットカードにおけるセキュリティ基準すべての元となるフレームワークとして、6つの目標と、それに対応する12の要件によって定められたものです。
対象とされる事業者に該当する場合、年間のカード取扱量に応じたレベルでPCI DSSのセキュリティ基準に準拠していかなければなりません。
関連記事:PCI DSSとは?準拠が必要な企業とセキュリティ対策をガイダンス
PCI SSCが設立されたのは、2004年のことです。それまでは、American Express、Discover、JCB、Mastercard、VISAなどの国際カードブランド各社は、それぞれ独自にセキュリティ基準を定める形でクレジットカード会社や加盟店に準拠を求めていました。
単一のカードブランドを使用していた時代はそれでも大きな問題はなかったのですが、現在では一つの店舗でも複数のカードブランドを扱うことが増えています。すると、従来の方法では各カードブランド各社が定めているセキュリティ基準をそれぞれ別々に把握し、すべてクリアしなければなりませんでした。これは非常に難しく、店舗にとって負担になることです。
インターネットが普及したこともあり、国境を隔てたネット決済も加速しましたが、その中で大規模なクレジットカード被害も起こっていました。そのため、各社のセキュリティ基準準拠が店舗の負担になるといっても、国際カードブランドとしてもセキュリティ基準を緩やかにするわけにはいきません。
そこで考えられたのが、加盟店のリスクとコストの両方を抑えられる仕組みであるクレジットカード情報保護のためのセキュリティ対策フレームワーク「PCI DSS」です。PCI SSCによって基準が統一されたことにより、クレジットカード被害には十分対応しながらも、それぞれカードブランドが個別に定めているセキュリティ基準を確認して満たす必要がなくなりました。
また、PCI DSSでは、どのようなセキュリティ対策をすべきか、どのような条件を満たしていれば要件を遵守できるのかについて示されています。クレジットカード情報を取り扱う各店舗でもセキュリティ対策に力を入れなければならないのは十分理解していましたが、なにをどのように対応すれば良いかについては非常に難しい問題でした。
PCI DSSの要件を確認することでセキュリティ対策やセキュリティの枠組みを作るための手順が分かるため、有効活用されています。
ただ、PCI SSCが設立された2004年から必要性が認知されていたものではありません。日本で注目されたのは、政府が国内重要インフラ13分野の一つとして、クレジットカード取引を指定したことが関係しています。
これは、東京オリンピックの開催によって日本を訪問する外国人が急増していたことも大きな理由です。クレジットカードセキリティ対策基準としてPCI DSSの採用が決定されたことを受け、一般社団法人日本クレジット協会が実行計画を策定しました。実行計画の中でクレジットカード会社や決済代行会社・EC事業者に対してPCI DSS準拠を決めたことにより、各社で対応が求められています。
PCI SSCの管理範囲は「PCI基準」と呼ばれます。PCI SSCのセキュリティ管理範囲と法的な拘束力はどのようになっているのかについて解説します。
◆統制目標
関連記事:PCI DSSで定められている6つの目標と12の要件とは?
PCI DSSの対象となるのはカード会員データを伝送、処理、保管する企業ですが、PA-DSSでは、決済アプリケーションが対象となります。例えば、PA-DSSに準拠した決済アプリケーションを採用することによって、セキュリティを強固なものにすることが可能です。また、PCI DSSへの準拠を容易にすることにもつながります。
PCI PTSは、主にPIN(暗証番号)を入力するハードウェア端末やモジュールを示すセキュリティ基準のことを指しています。
PCI PTSに対応するためには、例えばPIN転送時に暗号化したり、破壊に対する強度を高めたりといった要件を満たさなければなりません。
なお、決済アプリケーションを稼働させるにあたりハードウェアにPINを入力する装置を用いるような場合は、PA-DSSに加えこちらのPCI PTSも対応が必要になります。
PCI DSS、PA-DSS、PCI PTSとPCI SSCのセキュリティ管理範囲について紹介しましたが、このいずれについても法的な拘束力はありません。これには、PCI DSSは民間団体が発行した基準であることなども関係しています。
PCI DSSに法的な拘束力はありませんが、PCI DSSへの準拠が求められています。仮に十分なセキュリティ対策をしておらず、クレジットカードの情報漏えいによって被害が起こってしまったような場合は、国際カードブランドからクレジット会社に対して対応が求められてしまうからです。
例えば、セキュリティ対策不足による被害でカード再発行手数料などが発生したとします。これらの費用は情報を漏洩した加盟店に対して求める形となってしまいます。
このことから、該当する企業では世界統一基準ともいえるPCI DSS準拠の対応を急いでいる状況です。
さらに、もう1つの理由として一般社団法人日本クレジット協会の実行計画が挙げられます。2016年に交付された割賦販売法の改正法案が2018年に施行され、カード情報を取り扱う各社ではPCI DSS準拠に向けて動き始めました。
改正割賦販売法では、カード会社とカード番号等を取り扱う企業に対してセキュリティの強化が義務づけられています。
一般社団法人日本クレジット協会では、クレジットカード・セキュリティガイドラインとして、加盟店はカード情報を保持しない「非保持化」を選択するか、保持する場合はPCI DSSに準拠する指針対策を示しました。
カード会社や決済代行業者等、コード決済事業者等などについてもPCI DSSの準拠を指針対策として示しています。
なお、加盟店にとってPCI DSS準拠は負担が大きい問題です。そのため、カード情報の非保持化を選択することによってPCI DSS準拠を避けようとする動きが見られます。
【関連記事】
PCI DSSにおける「カード情報非保持」の定義とは
PA-DSSは、決済ソフトウエア向けペイメントアプリケーションデータセキュリティ基準です。決済アプリケーションを開発しているソフトウェアメーカーやベンダーなどに対して、セキュリティ要件を定めています。
対象となる決済アプリケーションは、第三者に販売、配布、ライセンス供与されるものです。そのため、特定の加盟店向けに開発・販売されているようなものについては対象外となります。
PCI SSCの認定審査機関であるPA-QSAによって認定される形です。
なお、PA-DSSは2022年の10月に終了し、2021年6月からは新基準である「SSF(Software Security Framework:ソフトウェアセキュリティフレームワーク)」が採用されています。PA-DSSの対象範囲を超え、PCIセキュアソフトウエア基準、PCIセキュアSLC基準が定められ、ソフトウエアセキュリティの全体的な弾力性に関する問題に対処できるような要件が定められています。
PCI PTSは、クレジットカード決済時にPIN入力を行う端末の開発を行っているメーカー・ベンダーを対象にしたセキュリティ基準です。PIN入力を行う決済端末で確保しなければならないセキュリティ要件が定められています。
3年ごとにマイナーバージョンがリリースされており、バージョンアップのたびに準拠すべきハードウェアの対象範囲が広がっている状態です。だからこそ情報漏洩リスクの大幅な低減ができる基準として、安全な決済につなげることができます。
当サイトでは、他にもクレジットカードセキュリティに関する情報を幅広く提供しているので、ぜひご覧ください。
PCI DSS Ready Cloudでは、PCI DSS v4.0への効率的な移行支援及び準拠を促進するクラウドサービスを提供しています。
是非一度、ご相談ください。
PCI DSS準拠を促進するクラウドサービスならPCI DSS Ready Cloud
■ PCI DSS の構築、維持・運用にかかるコストと工数を削減する
■ AWSでの開発事業者や外部ベンダー/事業者との専用線接続がない場合に最適
■ 国内トップクラスのPCI DSS専門のコンサルタント集団によるPCI DSS準拠支援サービス
PCI SSCとは
PCI SSCとは、「PCI Security Standards Council:PCIセキュリティスタンダードカウンシル」を略したもののことです。クレジットカード業界における世界的な規制機関のことを指しています。
世界中のクレジット決済に加え、決済のデータやプロセスといったものを保護する目的で設立されました。PCI SSCではクレジット業界のセキュリティを維持向上させ、支払いシステムを安全なものにしていくための取り組みを行っています。
また、情報セキュリティ基準である「PCI DSS」の運営を行っているのもPCI SSCです。主な活動としては、クレジットカードに関する国際的なセキュリティ基準の制定、運用、管理となっています。
国際カードブランド5社であるAmerican Express、Discover、JCB、Mastercard、VISAが共同で設立しました。
そもそもPCI DSSとは
PCI SSCが運営している「PCI DSS」とは、「Payment Card Industry Data Security Standard:ペイメントカードインダストリーデータセキュリティスタンダード」の頭文字を取ったものです。情報セキュリティ基準であり、その対象はカード会社・加盟店のほか、カード会員データや決済データを取り扱っている事業者のシステム全体にまでおよびます。
クレジットカードにおけるセキュリティ基準すべての元となるフレームワークとして、6つの目標と、それに対応する12の要件によって定められたものです。
対象とされる事業者に該当する場合、年間のカード取扱量に応じたレベルでPCI DSSのセキュリティ基準に準拠していかなければなりません。
関連記事:PCI DSSとは?準拠が必要な企業とセキュリティ対策をガイダンス
PCI SSC設立の背景
PCI SSCが設立されたのは、2004年のことです。それまでは、American Express、Discover、JCB、Mastercard、VISAなどの国際カードブランド各社は、それぞれ独自にセキュリティ基準を定める形でクレジットカード会社や加盟店に準拠を求めていました。
単一のカードブランドを使用していた時代はそれでも大きな問題はなかったのですが、現在では一つの店舗でも複数のカードブランドを扱うことが増えています。すると、従来の方法では各カードブランド各社が定めているセキュリティ基準をそれぞれ別々に把握し、すべてクリアしなければなりませんでした。これは非常に難しく、店舗にとって負担になることです。
インターネットが普及したこともあり、国境を隔てたネット決済も加速しましたが、その中で大規模なクレジットカード被害も起こっていました。そのため、各社のセキュリティ基準準拠が店舗の負担になるといっても、国際カードブランドとしてもセキュリティ基準を緩やかにするわけにはいきません。
そこで考えられたのが、加盟店のリスクとコストの両方を抑えられる仕組みであるクレジットカード情報保護のためのセキュリティ対策フレームワーク「PCI DSS」です。PCI SSCによって基準が統一されたことにより、クレジットカード被害には十分対応しながらも、それぞれカードブランドが個別に定めているセキュリティ基準を確認して満たす必要がなくなりました。
また、PCI DSSでは、どのようなセキュリティ対策をすべきか、どのような条件を満たしていれば要件を遵守できるのかについて示されています。クレジットカード情報を取り扱う各店舗でもセキュリティ対策に力を入れなければならないのは十分理解していましたが、なにをどのように対応すれば良いかについては非常に難しい問題でした。
PCI DSSの要件を確認することでセキュリティ対策やセキュリティの枠組みを作るための手順が分かるため、有効活用されています。
ただ、PCI SSCが設立された2004年から必要性が認知されていたものではありません。日本で注目されたのは、政府が国内重要インフラ13分野の一つとして、クレジットカード取引を指定したことが関係しています。
これは、東京オリンピックの開催によって日本を訪問する外国人が急増していたことも大きな理由です。クレジットカードセキリティ対策基準としてPCI DSSの採用が決定されたことを受け、一般社団法人日本クレジット協会が実行計画を策定しました。実行計画の中でクレジットカード会社や決済代行会社・EC事業者に対してPCI DSS準拠を決めたことにより、各社で対応が求められています。
PCI SSCのセキュリティ管理範囲と法的な拘束力
PCI SSCの管理範囲は「PCI基準」と呼ばれます。PCI SSCのセキュリティ管理範囲と法的な拘束力はどのようになっているのかについて解説します。
PCI DSS
PCI DSSでは、6つの統制目標として、以下が定められています。◆統制目標
- 安全なネットワークとシステムの構築と維持
- カード会員データの保護
- 脆弱性管理プログラムの維持
- 強固なアクセス制御方法の導入
- ネットワークの定期的な監視およびテスト
- 情報セキュリティポリシーの維持
関連記事:PCI DSSで定められている6つの目標と12の要件とは?
PA-DSS
PA-DSSとは「Payment Application Data Security Standard:ペイメントアプリケーションデータセキュリティスタンダード」の頭文字を取ったもののことです。PCI DSSから派生したセキュリティ基準となっています。PCI DSSの対象となるのはカード会員データを伝送、処理、保管する企業ですが、PA-DSSでは、決済アプリケーションが対象となります。例えば、PA-DSSに準拠した決済アプリケーションを採用することによって、セキュリティを強固なものにすることが可能です。また、PCI DSSへの準拠を容易にすることにもつながります。
PCI PTS
PA-DSSと同様にPCI DSSから派生したセキュリティ基準であり、「Payment Card Industry Pin Transaction Security:ペイメントカードインダストリーPINトランザクションセキュリティ」の頭文字を取ったものです。PCI PTSは、主にPIN(暗証番号)を入力するハードウェア端末やモジュールを示すセキュリティ基準のことを指しています。
PCI PTSに対応するためには、例えばPIN転送時に暗号化したり、破壊に対する強度を高めたりといった要件を満たさなければなりません。
なお、決済アプリケーションを稼働させるにあたりハードウェアにPINを入力する装置を用いるような場合は、PA-DSSに加えこちらのPCI PTSも対応が必要になります。
PCI DSS、PA-DSS、PCI PTSとPCI SSCのセキュリティ管理範囲について紹介しましたが、このいずれについても法的な拘束力はありません。これには、PCI DSSは民間団体が発行した基準であることなども関係しています。
PCI DSSへの準拠
PCI DSSに法的な拘束力はありませんが、PCI DSSへの準拠が求められています。仮に十分なセキュリティ対策をしておらず、クレジットカードの情報漏えいによって被害が起こってしまったような場合は、国際カードブランドからクレジット会社に対して対応が求められてしまうからです。
例えば、セキュリティ対策不足による被害でカード再発行手数料などが発生したとします。これらの費用は情報を漏洩した加盟店に対して求める形となってしまいます。
このことから、該当する企業では世界統一基準ともいえるPCI DSS準拠の対応を急いでいる状況です。
さらに、もう1つの理由として一般社団法人日本クレジット協会の実行計画が挙げられます。2016年に交付された割賦販売法の改正法案が2018年に施行され、カード情報を取り扱う各社ではPCI DSS準拠に向けて動き始めました。
改正割賦販売法では、カード会社とカード番号等を取り扱う企業に対してセキュリティの強化が義務づけられています。
一般社団法人日本クレジット協会では、クレジットカード・セキュリティガイドラインとして、加盟店はカード情報を保持しない「非保持化」を選択するか、保持する場合はPCI DSSに準拠する指針対策を示しました。
カード会社や決済代行業者等、コード決済事業者等などについてもPCI DSSの準拠を指針対策として示しています。
なお、加盟店にとってPCI DSS準拠は負担が大きい問題です。そのため、カード情報の非保持化を選択することによってPCI DSS準拠を避けようとする動きが見られます。
【関連記事】
PCI DSSにおける「カード情報非保持」の定義とは
PA-DSSとは
PA-DSSは、決済ソフトウエア向けペイメントアプリケーションデータセキュリティ基準です。決済アプリケーションを開発しているソフトウェアメーカーやベンダーなどに対して、セキュリティ要件を定めています。
対象となる決済アプリケーションは、第三者に販売、配布、ライセンス供与されるものです。そのため、特定の加盟店向けに開発・販売されているようなものについては対象外となります。
PCI SSCの認定審査機関であるPA-QSAによって認定される形です。
なお、PA-DSSは2022年の10月に終了し、2021年6月からは新基準である「SSF(Software Security Framework:ソフトウェアセキュリティフレームワーク)」が採用されています。PA-DSSの対象範囲を超え、PCIセキュアソフトウエア基準、PCIセキュアSLC基準が定められ、ソフトウエアセキュリティの全体的な弾力性に関する問題に対処できるような要件が定められています。
PCI PTSとは
PCI PTSは、クレジットカード決済時にPIN入力を行う端末の開発を行っているメーカー・ベンダーを対象にしたセキュリティ基準です。PIN入力を行う決済端末で確保しなければならないセキュリティ要件が定められています。
3年ごとにマイナーバージョンがリリースされており、バージョンアップのたびに準拠すべきハードウェアの対象範囲が広がっている状態です。だからこそ情報漏洩リスクの大幅な低減ができる基準として、安全な決済につなげることができます。
安全にクレジットカード会員データを取り扱うために重要
いかがだったでしょうか。PCI SSCとは何かについて紹介しました。カードのセキュリティ対策に取り組んでいくにあたり、必ず確認しておきたいポイントでもあります。多くの要件が定められているので、準拠を進めていこうと考えた際には、効率よく取り組んでいくことが欠かせません。当サイトでは、他にもクレジットカードセキュリティに関する情報を幅広く提供しているので、ぜひご覧ください。
PCI DSS Ready Cloudでは、PCI DSS v4.0への効率的な移行支援及び準拠を促進するクラウドサービスを提供しています。
是非一度、ご相談ください。
PCI DSS準拠を促進するクラウドサービスならPCI DSS Ready Cloud
■ PCI DSS の構築、維持・運用にかかるコストと工数を削減する
■ AWSでの開発事業者や外部ベンダー/事業者との専用線接続がない場合に最適
■ 国内トップクラスのPCI DSS専門のコンサルタント集団によるPCI DSS準拠支援サービス
構成/監修者
滝村 享嗣 氏
株式会社リンク
セキュリティプラットフォーム事業部 事業部長
群馬県高崎市出身。1999年、新卒で大手商社(情報通信系サービス)に入社。その後、ITベンチャーの営業責任者、ソフトウエアベンチャーの営業/マーケティング/財務責任者に従事。2011年にリンクに入社し、セキュリティプラットフォーム事業の事業責任者として、クレジットカード業界のセキュリティ基準であるPCI DSS準拠を促進するクラウドサービスなどを企画・事業化している。
滝村 享嗣 氏株式会社リンク
セキュリティプラットフォーム事業部 事業部長
群馬県高崎市出身。1999年、新卒で大手商社(情報通信系サービス)に入社。その後、ITベンチャーの営業責任者、ソフトウエアベンチャーの営業/マーケティング/財務責任者に従事。2011年にリンクに入社し、セキュリティプラットフォーム事業の事業責任者として、クレジットカード業界のセキュリティ基準であるPCI DSS準拠を促進するクラウドサービスなどを企画・事業化している。
この記事が気に入ったら
いいね!しよう
PCI DSS 関連の最新記事をお届けします
Copyright by LINK, INC.