この記事は2023年6月22日に「The Finance」で公開された「PCI DSSとは?準拠要件・レベル・日本語版など総解説」を一部編集し、転載したものです。
昨今、クレジットカードの情報漏洩・流出ならびに不正利用が増えています。そういった被害を防止するためクレジットカード業界において対応が求められている「PCIDSS」について、本稿では、設立背景やメリットならびに2022年3月公表「PCI DSS v4.0」の内容概要から準拠要件・レベル詳細までを解説します。
目次
PCI DSSとは
(1)定義
PCI DSSとは、「Payment Card Industry Data Security Standard」の略称でクレジット産業向けのグローバルセキュリティ基準のことです。Visa、MasterCard、JCB、American Express、Discoverの5大カードブランドによって、2004年に策定されました。
時流に合わせてバージョンが更新されており、2022年3月にはPCI DSS v4.0がリリースされています。
PCI DSSにはクレジットカード会員のデータを保護するなど、6つの目的があり、その目的を達成するための12の要件が設定されています。事業者は12の要件を満たし、要件に紐づけられている項目をクリアすることでPCI DSSに準拠することが求められます。
PCI DSSの目的から要件、準拠事項については、「PCI DSSが掲げる6つの目的と12の要件」と「PCI DSSの準拠事項と各レベルの詳細」の章をそれぞれ確認していただきたい。
(2)v4.0の内容
定義の部分で述べたようにPCI DSSは現在、v4.0がリリースされています。これまでのv1.2.3は2024年3月31日に終了となるため、あと1年足らずの間に要件差分を確認し、移行に向けた対応が必要です。
例えば、要件の対象がこれまでの「カード会員データ」から「アカウントデータ」に変更されています。昨今では機密認証データ漏洩が増えてきており、より厳格な対応をするためにシステム改修などが必要とされています。さらに「監査ログのレビューには自動化されたメカニズムを使用する」なども変更点です。不正アクセスの監視は目視ではなく、確実に発見するための自動化が求められるようになりました。こうした不正アクセスを発見するためには、ログ解析ツールの導入などが必要です。
こうした変更点がv4.0には要件付けられているため、改めての確認が求められます。
PCI DSSの日本語版ドキュメント
PCI DSSの日本語版ドキュメントに関しては、「PCI Security Standards Council」の公式サイトからダウンロードが可能です。
以下のURLから該当のドキュメントを「日本語PDF」を選択して、ダウンロードをしてみてください。
公式サイト:PCI Security Standards Council(ドキュメントライブラリ)
PCI DSSが設立された背景
PCI DSSが設立された背景は以下の2つがあげられます。
- カードブランドによる異なっていたセキュリティ基準の統一
- 経済のグローバル化への対応
PCI DSSが設立される以前は、Visa、MasterCard、JCB、American Express、Discoverの5大カードブランドはそれぞれのセキュリティ基準を設けて運用していました。そのためクレジットカードを取り扱う加盟店は、カードの種類に応じてセキュリティ基準を満たす必要があり、対応には大きな負担がかかっていました。
さらに経済のグローバル化が促進されたことにより、日本にいながら海外のサイトから商品を購入・決済することも簡単にできるようになってきました。しかしグローバル化によって利便性が増した一方で、クレジットカード被害が世界中で多発するという結果も出てきてしまい、大きな課題となっていました。
こうした背景から加盟店の負担軽減とクレジットカードの被害リスクを抑えた、さらなるグローバル化の促進を目指してPCI DSSが設立されています。
日本においても2016 年に「クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画」が発表され、クレジットカード情報を保持している事業者に対してのPCI DSS準拠が求められました。さらにその2年後には、「改正割賦販売法」が施行されたことで、事業者のみならず加盟店に対しても、クレジットカード情報の不正使用対策などが義務付けられました。
PCI DSSに準拠するメリット
事業者や加盟店がPCI DSSに準拠することで、以下のようなメリットがあります。
- セキュリティインシデントのリスクを低減することができる
- セキュリティが強固であることをユーザーにアピールできる
- PCI DSSに準拠していてもインシデントが起きた場合にクレジットカード会社からのペナルティが一部免除される
PCI DSSで定められているセキュリティ基準は非常に明瞭的で定量的に示されています。そのため、定められた要件を遵守することでセキュリティインシデントが発生するリスクは可能な限り抑えることが可能です。
さらにPCI DSSに準拠していることで、ユーザーに適切なセキュリティ対策を整えていることをアピールできます。クレジットカードの不正利用などが多い昨今において、PCI DSSに準拠していることは、サイトの信用やブランド価値の向上にもつながるといえるでしょう。
また、万が一インシデントが発生した場合でもPCI DSSに準拠していることで、クレジットカード会社からのペナルティが一部免除されることもあります。
PCI DSSが掲げる6つの目的と12の要件
(1)目的1:安全なネットワークとシステムの構築と維持
| 内容 | 対応方法の一例 | |
|---|---|---|
| 要件1 | カード会員データを保護するために、ファイアウォールをインストールして構成を維持する |
|
| 要件2 | システムパスワードおよび他のセキュリティパラメータにベンダ提供のデフォルト値を使用しない |
|
(2)目的2:カード会員データの保護
| 内容 | 対応方法の一例 | |
|---|---|---|
| 要件3 | 保存されるカード会員データを保護する |
|
| 要件4 | オープンな公共ネットワーク経由でカード会員データを伝送する場合、強力な暗号化技術で保護する |
|
(3)目的3:脆弱性管理プログラムの整備
| 内容 | 対応方法の一例 | |
|---|---|---|
| 要件5 | すべてのシステムをマルウェアから保護し、ウィルス対策ソフトウェアまたはプログラムを定期的に更新する |
|
| 要件6 | 安全性の高いシステムとアプリケーションを開発し、保守する |
|
(4)目的4:強力なアクセス制御手法の導入
| 内容 | 対応方法の一例 | |
|---|---|---|
| 要件7 | システムコンポーネントおよびカード会員データへのアクセスを、業務上必要な範囲内に制限する |
|
| 要件8 | システムコンポーネントへのアクセスを確認・許可する |
|
| 要件9 | カード会員データへの物理アクセスを制限する |
|
(5)目的5:ネットワークの定期的な監視およびテスト
| 内容 | 対応方法の一例 | |
|---|---|---|
| 要件10 | ネットワークリソースおよびカード会員データへのすべてのアクセスを追跡および監視する |
|
| 要件11 | セキュリティシステムおよびプロセスを定期的にテストする |
|
(6)目的6:情報セキュリティポリシーの整備
| 内容 | 対応方法の一例 | |
|---|---|---|
| 要件12 | 事業体としての情報セキュリティに対するポリシーを維持する |
|
PCI DSSの準拠事項と各レベルの詳細
| レベル | Visa Inc.(AIS) | MasterCard(SDP) | JCB(JCBデータセキュリティプログラム) | American Express(DSOP) | Discover |
|---|---|---|---|---|---|
| 1 |
|
|
|
|
|
| 2 |
|
|
|
|
|
| 3 |
|
|
該当なし |
|
|
| 4 |
|
|
該当なし | 該当なし |
|
| レベル | Visa Inc.(AIS) | MasterCard(SDP) | JCB(JCBデータセキュリティプログラム) | American Express(DSOP) | Discover |
|---|---|---|---|---|---|
| 1 |
|
|
|
|
|
| 2 |
|
|
|
|
|
| 3 |
|
|
該当なし |
|
|
| 4 |
|
|
該当なし | 該当なし |
|
※引用サイト:「国際マネジメントシステム認証機構」
| レベル | Visa Inc.(AIS) | MasterCard(SDP) | JCB(JCBデータセキュリティプログラム) | American Express(DSOP) | Discover |
|---|---|---|---|---|---|
| 1 |
|
|
|
|
|
| 2 |
|
|
|
|
|
| 3 | 該当なし | 該当なし | 該当なし | 該当なし | 該当なし |
※引用サイト:「国際マネジメントシステム認証機構」
| レベル | Visa Inc.(AIS) | MasterCard(SDP) | JCB(JCBデータセキュリティプログラム) | American Express(DSOP) | Discover |
|---|---|---|---|---|---|
| 1 |
|
|
|
|
|
| 2 |
|
|
|
|
|
| 3 | 該当なし | 該当なし | 該当なし |
※引用サイト:「国際マネジメントシステム認証機構」
PCI DSSを取得している日本企業
PCI DSSを取得している日本企業を一部、以下の表の通りに記載します。一部とした理由については、PCI DSSを取得している企業についてはセキュリティの高さを証明する一方で、すべての企業を明記してしまうと記載されていない企業のセキュリティリスクが高くなってしまう恐れがあります。
リスク回避のため、本記事で紹介する企業については、10社とさせていただきます。
| 三井住友カード株式会社 | 大日本印刷株式会社 |
| NECビッグローブ株式会社 | 株式会社日立情報システムズ |
| ニフティ株式会社 | GMOペイメントゲートウェイ株式会社 |
| 楽天グループ株式会社 | ヤフー株式会社 |
| 富士通株式会社 | ビリングシステム株式会社 |
まとめ
v4.0が発表され、高いセキュリティ基準に準拠するためには、システムの改修などが必要になってきます。経済はグローバル化の一途を進んでおり、より強固なセキュリティ環境を整えることが求められています。
自社の予算や規模感などを確認し、適切な方法でPCI DSSについての理解と対応していくことが必要です。
