誰でもわかる！　PCI DSSの要件と対処方法

PCI DSSとは

国際カードブランド5社が策定したグローバルセキュリティ基準

　近年、クレジットカード情報の漏洩・流出・不正利用事件がニュースになることが絶えません。
　このような事態を避けるためには、クレジットカード加盟店などが十分なセキュリティ対策を講じることが欠かせませんが、カードブランド各社がそれぞれ独自の対策を要求するかたちでは、複数のカードブランドを取り扱う加盟店の負担は多大なものになります。そこで、国際カードブランドであるAmerican Express、Discover、JCB、MasterCard、Visaの5社が2004年に、クレジットカード業界のグローバルセキュリティ基準として共同で策定したのが、PCI DSS（Payment Card Industry Data Security Standard）です。

　PCI DSSの準拠対象は、カード加盟店、銀行、決済代行を行うサービス・プロバイダー、アクワイアラー、イシュアなど、クレジットカード情報を「保存、処理、または送信する」企業全般に渡ります。クレジットカード情報を取り扱う以上、PCI DSS準拠は必須条件になっていると言えるでしょう。
　なお、PCI DSSは国際カードブランド5社が共同設立したPCI SSC（PCI Security Standards Council）が運営・管理を行っており、最新バージョンとして2018年5月にPCI DSS Ver.3.2.1が発表されました。

PCI DSS準拠の背景

政府が求める“安全・安心”なクレジットカード利用環境の実現

　日本では、クレジット取引セキュリティ対策協議会が2016 年に発表した「クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画」において、カード情報を保持する事業者にPCI DSS準拠を求めたことで、PCI DSS 準拠への注目が一気に高まりました。さらに2016年12月に公布され、2018 年6 月に施行された「改正割賦販売法」で、カード会社だけではなく、クレジットカード情報を取り扱う加盟店において、カード番号等の適切な管理や不正使用対策を講じることが義務づけられたこともこの動きを一層加速しています。
　日本政府が「日本再興戦略」のテーマの一つとして、2020年オリンピック・パラリンピック東京大会の開催等に向けた、キャッシュレス決済の普及による利便性・効率性の向上、インバウンド需要の確実な取り込みを掲げ、その大前提として“安全・安心”なクレジットカード利用環境の実現を挙げていることも、このような動きの背景となっていると言えるでしょう。

PCI DSSの概要

6つの目的と12の要件

PCI DSSでは、以下の6つの目的とそれに対応する12の要件が定められています。

安全なネットワークとシステムの構築と維持
要件1	カード会員データを保護するために、ファイアウォールをインストールして維持する
要件2	システムパスワードおよびその他のセキュリティパラメータにベンダー提供のデフォルト値を使用しない
カード会員データの保護
要件3	保存されるカード会員データを保護する
要件4	オープンな公共ネットワーク経由でカード会員データを伝送する場合、暗号化する
脆弱性管理プログラムの整備
要件5	マルウェアにしてすべてのシステムを保護し、ウィルス対策ソフトウェアを定期的に更新する
要件6	安全性の高いシステムとアプリケーションを開発し、保守する
強力なアクセス制御手法の導入
要件7	カード会員データへのアクセスを、業務上必要な範囲内に制限する
要件8	システムコンポーネントへのアクセスを識別・認証する
要件9	カード会員データへの物理アクセスを制限する
ネットワークの定期的な監視およびテスト
要件10	ネットワークリソースおよびカード会員データへのすべてのアクセスを追跡および監視する
要件11	セキュリティシステムおよびプロセスを定期的にテストする
情報セキュリティポリシーの整備
要件12	すべての担当者の情報セキュリティに対応するポリシーを整備する

このページを共有