PCI DSSとは？準拠要件・レベル・日本語版など総解説

「The Finance」転載

2023/07/06

転載元メディアThe Finance

この記事は2023年6月22日に「The Finance」で公開された「PCI DSSとは？準拠要件・レベル・日本語版など総解説」を一部編集し、転載したものです。

昨今、クレジットカードの情報漏洩・流出ならびに不正利用が増えています。そういった被害を防止するためクレジットカード業界において対応が求められている「PCIDSS」について、本稿では、設立背景やメリットならびに2022年3月公表「PCI DSS v4.0」の内容概要から準拠要件・レベル詳細までを解説します。

PCI DSSとは

(画像=show999/stock.adobe.com)

(１)定義

PCI DSSとは、「Payment Card Industry Data Security Standard」の略称でクレジット産業向けのグローバルセキュリティ基準のことです。Visa、MasterCard、JCB、American Express、Discoverの5大カードブランドによって、2004年に策定されました。
時流に合わせてバージョンが更新されており、2022年3月にはPCI DSS v4.0がリリースされています。
PCI DSSにはクレジットカード会員のデータを保護するなど、6つの目的があり、その目的を達成するための12の要件が設定されています。事業者は12の要件を満たし、要件に紐づけられている項目をクリアすることでPCI DSSに準拠することが求められます。
PCI DSSの目的から要件、準拠事項については、「PCI DSSが掲げる6つの目的と12の要件」と「PCI DSSの準拠事項と各レベルの詳細」の章をそれぞれ確認していただきたい。

(２)v4.0の内容

定義の部分で述べたようにPCI DSSは現在、v4.0がリリースされています。これまでのv1.2.3は2024年3月31日に終了となるため、あと1年足らずの間に要件差分を確認し、移行に向けた対応が必要です。
例えば、要件の対象がこれまでの「カード会員データ」から「アカウントデータ」に変更されています。昨今では機密認証データ漏洩が増えてきており、より厳格な対応をするためにシステム改修などが必要とされています。さらに「監査ログのレビューには自動化されたメカニズムを使用する」なども変更点です。不正アクセスの監視は目視ではなく、確実に発見するための自動化が求められるようになりました。こうした不正アクセスを発見するためには、ログ解析ツールの導入などが必要です。
こうした変更点がv4.０には要件付けられているため、改めての確認が求められます。

PCI DSSの日本語版ドキュメント

PCI DSSの日本語版ドキュメントに関しては、「PCI Security Standards Council」の公式サイトからダウンロードが可能です。
以下のURLから該当のドキュメントを「日本語PDF」を選択して、ダウンロードをしてみてください。

公式サイト：PCI Security Standards Council（ドキュメントライブラリ）

(画像=The Finance)

PCI DSSが設立された背景

PCI DSSが設立された背景は以下の2つがあげられます。

カードブランドによる異なっていたセキュリティ基準の統一
経済のグローバル化への対応

PCI DSSが設立される以前は、Visa、MasterCard、JCB、American Express、Discoverの5大カードブランドはそれぞれのセキュリティ基準を設けて運用していました。そのためクレジットカードを取り扱う加盟店は、カードの種類に応じてセキュリティ基準を満たす必要があり、対応には大きな負担がかかっていました。
さらに経済のグローバル化が促進されたことにより、日本にいながら海外のサイトから商品を購入・決済することも簡単にできるようになってきました。しかしグローバル化によって利便性が増した一方で、クレジットカード被害が世界中で多発するという結果も出てきてしまい、大きな課題となっていました。

こうした背景から加盟店の負担軽減とクレジットカードの被害リスクを抑えた、さらなるグローバル化の促進を目指してPCI DSSが設立されています。
日本においても2016 年に「クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画」が発表され、クレジットカード情報を保持している事業者に対してのPCI DSS準拠が求められました。さらにその2年後には、「改正割賦販売法」が施行されたことで、事業者のみならず加盟店に対しても、クレジットカード情報の不正使用対策などが義務付けられました。

PCI DSSに準拠するメリット

事業者や加盟店がPCI DSSに準拠することで、以下のようなメリットがあります。

セキュリティインシデントのリスクを低減することができる
セキュリティが強固であることをユーザーにアピールできる
PCI DSSに準拠していてもインシデントが起きた場合にクレジットカード会社からのペナルティが一部免除される

PCI DSSで定められているセキュリティ基準は非常に明瞭的で定量的に示されています。そのため、定められた要件を遵守することでセキュリティインシデントが発生するリスクは可能な限り抑えることが可能です。
さらにPCI DSSに準拠していることで、ユーザーに適切なセキュリティ対策を整えていることをアピールできます。クレジットカードの不正利用などが多い昨今において、PCI DSSに準拠していることは、サイトの信用やブランド価値の向上にもつながるといえるでしょう。
また、万が一インシデントが発生した場合でもPCI DSSに準拠していることで、クレジットカード会社からのペナルティが一部免除されることもあります。

PCI DSSが掲げる6つの目的と12の要件

(１)目的1：安全なネットワークとシステムの構築と維持

	内容	対応方法の一例
要件1	カード会員データを保護するために、ファイアウォールをインストールして構成を維持する	ネットワークのセグメントごとにファイアーウォールを設置するセグメントごとのアクセス制御設定を行う
要件2	システムパスワードおよび他のセキュリティパラメータにベンダ提供のデフォルト値を使用しない	自社運用のセキュリティパスワード等の設定を行う安全な接続のためのゲートウェイ設定を行う

(２)目的2：カード会員データの保護

	内容	対応方法の一例
要件3	保存されるカード会員データを保護する	カード会員データの暗号化を行うバックアップ環境の構築を行う
要件4	オープンな公共ネットワーク経由でカード会員データを伝送する場合、強力な暗号化技術で保護する	インターネット通信を行う全データを暗号化する

(３)目的3：脆弱性管理プログラムの整備

	内容	対応方法の一例
要件5	すべてのシステムをマルウェアから保護し、ウィルス対策ソフトウェアまたはプログラムを定期的に更新する	ウイルス対策ソフトの導入および常時最新の状態への更新するマルウェア対策の強化する
要件6	安全性の高いシステムとアプリケーションを開発し、保守する	脆弱性発見時に迅速なパッチを適用する環境の構築をする定期的な脆弱性診断を行うソフトの導入する

(４)目的4：強力なアクセス制御手法の導入

	内容	対応方法の一例
要件7	システムコンポーネントおよびカード会員データへのアクセスを、業務上必要な範囲内に制限する	アクセス権限の設定を行うアクセスログ監視を行う
要件8	システムコンポーネントへのアクセスを確認・許可する	ID、パスワードと同一にはしない二段階認証の設定を行う定期的なパスワード変更を強制する一定の操作がなされない場合、強制ログアウトの設定をする
要件9	カード会員データへの物理アクセスを制限する	データを扱う部屋への入室にカードキーを利用する指紋認証や静脈認証等で入室を許可するシステムを導入する

(５)目的5：ネットワークの定期的な監視およびテスト

	内容	対応方法の一例
要件10	ネットワークリソースおよびカード会員データへのすべてのアクセスを追跡および監視する	全てのログ追跡を行える設定を行うインシデント発生時には早急にログを確認できる仕組みを構築する関連ログは一定期間、バックアップサーバに保管する
要件11	セキュリティシステムおよびプロセスを定期的にテストする	定期的な脆弱性テストを実施する定期的なペネトレーションを実施する

(６)目的6：情報セキュリティポリシーの整備

	内容	対応方法の一例
要件12	事業体としての情報セキュリティに対するポリシーを維持する	情報セキュリティのルールを設定および徹底した周知をする時流に合わせてルールの更新をする

PCI DSSの準拠事項と各レベルの詳細

加盟店のレベル
レベル	Visa Inc.（AIS）	MasterCard（SDP）	JCB（JCBデータセキュリティプログラム）	American Express（DSOP）	Discover
1	当該ブランドの年間の取引件数が600万件以上、または地域のVisaがレベル1と判断したグローバルな加盟店	当該ブランドの年間取引総件数の合計が600万件を超えるすべての加盟店過去にカード情報の漏えい事件を起こした加盟店 MasterCardがレベル1と判断した加盟店 Visaがレベル1と判断した加盟店	当該ブランドの年間の取引件数が100万件以上 International取引を処理する加盟店、または過去にカード情報の漏えい事件を起こした加盟店	当該ブランドの年間の取引件数が250万件以上またはAmericanExpressがレベル1と判断した加盟店	当該ブランドの年間取引件数が600万件以上他のペイメントブランドがレベル1と判断した加盟店
2	当該ブランドの年間の取引件数が100万〜600万件	当該ブランドの年間の取引件数が100万〜600万件 Visaがレベル2と判断した加盟店	当該ブランドの年間の取引件数が100万件未満	当該ブランドの年間の取引件数が5万～250万件以上またはAmericanExpressがレベル2と判断した加盟店	当該ブランドの取引が100万件以上、600万件未満の加盟店
3	当該ブランドの年間の電子商取引における取引件数が2万～100万件	当該ブランドの電子商取引の件数が2万〜100万件取り扱う加盟店 Visaがレベル3と判断した加盟店	該当なし	当該ブランドの年間の取引件数が5万件未満	当該ブランドの年間の電子商取引における取引件数が2万～100万
4	当該ブランドの年間の電子商取引における取引件数が2万件未満当該ブランドの年間の取引件数が100万件未満	レベル1~3以外のすべての加盟店	該当なし	該当なし	レベル1~3以外のすべての加盟店

加盟店の検証要件
レベル	Visa Inc.（AIS）	MasterCard（SDP）	JCB（JCBデータセキュリティプログラム）	American Express（DSOP）	Discover
1	QSAによる年1回のオンサイト監査 ASVによる四半期ごとのネットワークスキャン準拠報告のドキュメントフォーム	QSAによる年1回のオンサイト監査[社内監査役（または他の指定された独立スタッフ）により年1回のオンサイト監査の実施を選択しているレベル1加盟店は、社内監査役の利用を継続するためには、PCI DSS準拠の検証に従事している主要な社内スタッフが、毎年PCI SSC社内セキュリティ監査員（ISA）適格性プログラムを完了することを確保すること ASVによる四半期ごとのネットワークスキャン	QSAによる年1回のオンサイト監査 ASVによる四半期ごとのネットワークスキャン	QSA、または最高経営責任者、最高財務責任者、情報セキュリティ最高責任者、または加盟店が認証している場合は加盟店が実施した年1回のオンサイト監査 ASVによる四半期ごとのネットワークスキャン	QSAによる年1回のオンサイト監査 ASVによる四半期ごとのネットワークスキャン
2	年1回の自己問診 ASVによる四半期ごとのネットワークスキャン準拠報告のドキュメントフォーム	加盟店の裁量による年1回のオンサイト監査年1回の自己問診 ASVによる四半期ごとのネットワークスキャン	年1回の自己問診 ASVによる四半期ごとのネットワークスキャン	加盟店が実施し、最高経営責任者、最高財務責任者、情報セキュリティ最高責任者、または加盟店の責任者が認証した年1回の自己問診 ASVによる四半期ごとのネットワークスキャン	年1回の自己問診 ASVによる四半期ごとのネットワークスキャン
3	年1回の自己問診 ASVによる四半期ごとのネットワークスキャン	年1回の自己問診 ASVによる四半期ごとのネットワークスキャン	該当なし	年1回の自己問診（強く推奨） ASVによる四半期ごとのネットワークスキャン（強く推奨）	年1回の自己問診 ASVによる四半期ごとのネットワークスキャン
4	年1回の自己問診（推奨） ASVによる四半期ごとのネットワークスキャン（推奨）アクワイアラが定める準拠要件	年1回の自己問診 ASVによる四半期ごとのネットワークスキャン	該当なし	該当なし	年1回の自己問診 ASVによる四半期ごとのネットワークスキャン

※引用サイト：「国際マネジメントシステム認証機構」

サービスプロバイダのレベル
レベル	Visa Inc.（AIS）	MasterCard（SDP）	JCB（JCBデータセキュリティプログラム）	American Express（DSOP）	Discover
1	Visa Netに接続するプロセッサ、または取引の伝送／処理／保存の件数が年間30万件以上あるサービスプロバイダ	すべてのTPP 年間30万件超の取引を伝送／処理／保存するDSE 過去にカード情報の漏えい事件を起こしたことがあるすべてのTPP及びDSE	すべてのTPP	当該ブランドの取引件数が年間250万件以上、またはAmericanExpressがレベル1と判断したサービスプロバイダ	年間30万件超のカード取引を伝送、処理、保存するTPP Discoverが独自に定めたTPP
2	取引の伝送／処理／保存の件数が年間30万件未満のサービスプロバイダ	年間30万件以下の取引を伝送／処理／保存するDSE	すべてのTPP	当該ブランドの取引件数が年間250万件未満、またはAmericanExpressがレベル1でないとみなすサービスプロバイダー	年間30万件未満のカード取引を伝送、処理、保存するTPP
3	該当なし	該当なし	該当なし	該当なし	該当なし

※引用サイト：「国際マネジメントシステム認証機構」

サービスプロバイダの検証要件
レベル	Visa Inc.（AIS）	MasterCard（SDP）	JCB（JCBデータセキュリティプログラム）	American Express（DSOP）	Discover
1	QSAによる年1回のオンサイト監査 ASVによる四半期ごとのネットワークスキャン準拠証明書（AOC）	QSAによる年1回のオンサイト監査 ASVによる四半期ごとのネットワークスキャン	QSAによる年1回のオンサイト監査 ASVによる四半期ごとのネットワークスキャン	当該ブランドの取引件数が年間250万件以上、またはAmericanExpressがレベル1と判断したサービスプロバイダ	年間30万件超のカード取引を伝送、処理、保存するTPP Discoverが独自に定めたTPP
2	年1回の自己問診 ASVによる四半期ごとのネットワークスキャン Visa Incのサービスプロバイダリストには掲載されない（レベル1として検証すれば掲載）	年1回の自己問診 ASVによる四半期ごとのネットワークスキャンすべての非準拠のサービスプロバイダは完成したMasterCardアクションプランを提出する必要あり	QSAによる年1回のオンサイト監査 ASVによる四半期ごとのネットワークスキャン	年次の自己問診四半期毎のネットワークスキャン	年1回の自己問診 ASVによる四半期ごとのネットワークスキャン
3	該当なし	該当なし	該当なし

※引用サイト：「国際マネジメントシステム認証機構」

PCI DSSを取得している日本企業

PCI DSSを取得している日本企業を一部、以下の表の通りに記載します。一部とした理由については、PCI DSSを取得している企業についてはセキュリティの高さを証明する一方で、すべての企業を明記してしまうと記載されていない企業のセキュリティリスクが高くなってしまう恐れがあります。
リスク回避のため、本記事で紹介する企業については、10社とさせていただきます。

PCI DSS取得企業
三井住友カード株式会社	大日本印刷株式会社
NECビッグローブ株式会社	株式会社日立情報システムズ
ニフティ株式会社	GMOペイメントゲートウェイ株式会社
楽天グループ株式会社	ヤフー株式会社
富士通株式会社	ビリングシステム株式会社

まとめ

v4.0が発表され、高いセキュリティ基準に準拠するためには、システムの改修などが必要になってきます。経済はグローバル化の一途を進んでおり、より強固なセキュリティ環境を整えることが求められています。
自社の予算や規模感などを確認し、適切な方法でPCI DSSについての理解と対応していくことが必要です。

［寄稿］TheFinance編集部

株式会社セミナーインフォ

無料会員に登録する