ナレッジ

PCI DSS

カード情報セキュリティ国際統一基準

国際支払カードブランド5社(VISA、マスターカード、JCB、アメックス、ディスカバー)が共同で、カード会員情報やカード取引情報の保護を目的として、PCI SSC(Payment Card Industry Security Standards Council)が2004年12月15日に策定したカード情報セキュリティの国際統一基準について解説する

PCI DSSとは

PCI DSS(Payment Card Industry Data Security Standard、ペイメントカード業界データセキュリティ基準)とは、国際支払カードブランド5社(VISA、マスターカード、JCB、アメックス、ディスカバー)が共同で、カード会員情報やカード取引情報の保護を目的として、PCI SSC(Payment Card Industry Security Standards Council)が2004年12月15日に策定したカード情報セキュリティの国際統一基準である。
PCI DSS が策定される以前、クレジットカード業界ではVISA やMaster Card 等といった各カードブランドが独自にセキュリティ対策基準を策定し、対策の実施に取り組んできた。しかし、多くのクレジットカードの加盟店は複数のカードブランドを取り扱っているため、カードブランドごとに策定されたセキュリティ対策基準に対応する必要が生じ、対策の実施や運用の負担感、非効率性が問題となってきた。その結果として、加盟店側からのセキュリティ対策基準の統一を望む声が高まり、主要なカードブランドが中心となってカード情報セキュリティの国際統一基準であるPCI DSS が策定された。

PCI DSS実施の流れ

PCI DSS は加盟店、プロセシング会社、インターネット決済サービス事業者等、カード会員データの処理、保管、伝送等を行っている全ての組織に適用が可能である。加盟店への適用を例に挙げると、各加盟店はPCI SSC が認定したセキュリティ評価機関(加盟店等がPCIDSS の定める12の要件に対応しているか調査する)やスキャニングベンダー(加盟店等に対して定期的な脆弱性スキャンを実施する)とサービス提供の契約を締結し、検証を受けることによってセキュリティレベルの現状を把握する。PCI DSS 基準を満たさない項目がある場合、各加盟店は改善計画を作成し、必要な資源を投入して、改善計画を実施していくことが必要となる。
各国際支払カードブランドは、各加盟店が契約するカード会社を通して検証結果報告と証明書を受領し、各加盟店のセキュリティレベルを確認する。 

ISO27001との比較

情報セキュリティの代表的な国際統一基準と言えばISO27001がある。ISO27001が組織における情報セキュリティに関するリスクを継続的に改善するための組織・管理体制などを示したマネジメントシステムであるのに対し、PCI DSS はカード会員情報やカード取引情報を保護するのに実装すべき技術的な要件を具体的に示したマネジメントシステムとして位置づけられている。
また、ISO27001では安全なネットワークの構築やアクセス制御手法の導入の要件として、具体的な対策は示されていない。一方、PCI DSS では「重要なセキュリティパッチは、リリース後1カ月以内にインストールする」や「パスワードに7文字以上が含まれていることを要求する」等、具体的な設定基準も明記されているのが特徴である。 

PCI DSSの構成

PCI DSS認証取得のメリット

PCI DSS の認定を取得することには、以下のようなメリットがある。
(1)対外的な信用力の増加
PCI DSSで定義された12の要件を満たしたカード会員情報やカード取引情報を保護する技術が実装されていることが第三者機関に評価・認定されていることを対外的に明確にでき、組織の信用力が増加する。
(2)情報流出時に発生しうる損害補償義務の免責
加盟店等からカードに関する情報が流出して不正使用された場合、その加盟店がPCI DSS に準拠していれば、その管理責任のあるカード会社はその損害の補償をする義務を免責される。

お役に立ちましたか?