• 協議会について
  • 日本カード情報セキュリティ協議会
  • 概要・ごあいさつ
  • 登録企業一覧
  • 会則
  • 入会案内
  • 部会の活動
  • PCI DSS
  • グローバルセキュリティ基準PCI DSSとは
  • 概要
  • 認定取得のメリット
  • 認定取得について
  • 認定審査機関について
  • 導入が必要な企業
  • 企業一覧
  • PCI DSS準拠への参考資料集
  • 非保持化への参考資料
  • 非保持・PCI DSS対応の加盟店事例紹介
  • 会員専用
  • サイトスポンサー
  • お問合せ
  • pcidss

PCI DSSとは

概要

加盟店やサービス・プロバイダーにおいて、クレジットカード会員データを安全に取り扱うことを目的として策定された、クレジットカード業界の国際セキュリティ基準です。
Payment Card Industry Data Security Standardの頭文字をとったもので、国際カードブランド5社(American Express、Discover、JCB、MasterCard、VISA)が共同で設立したPCI SSC(Payment Card Industry Security Standards Council)によって運用、管理されています。

元々は各国際カードブランドが独自に運用していたリスク管理プログラムがあり、加盟店は各ブランドの求める要求に応える必要がありました。しかし、ひとつの加盟店で複数のカードが使える仕組み(マルチアクワイヤリング)が一般的になり、加盟店にとって各ブランドにより少しずつ異なる要求に対応しなくてはならないのは、非常に大きな負荷とならざるを得ない状況がありました。
いっぽう、インターネットの普及に合わせ、国境を隔てたネット決済の普及とともに、極めて大規模なクレジットカード被害も世界規模で発生するようになり、ICカードによるカード偽造防止や対面取引における暗証番号での本人確認ではますます不十分となってきました。

そこで、加盟店のリスクとコストに対応できる仕組みを作るべく、国際カードブランド5社が手を合わせ、世界的に統一されたクレジットカード情報保護のためのセキュリティ対策フレームワークができる流れとなりました。

認定取得のメリット

PCI DSS遵守により、企業価値(信用、ブランド)の向上はもちろんのこと、これまでの個人情報保護制度と違い、より具体的にセキュリティポリシーを定義されることにより、現実的にハッカーやクラッカー等による様々な不正アクセスからお客様のサイトを保護し、サイトの改ざんや悪用、情報盗用などのリスクを低減します。

認定取得について

PCI DSSへの具体的な対応方法は、カード情報の取扱い形態や規模によって、2つの方法があります。

1:訪問審査

PCI国際評議会(PCI SSC)によって認定された審査機関(QSA=Qualified Security Assessor)による訪問審査を受けて、認証を得る。QSAの一覧は、PCI SSCのサイトに掲示されています。また、日本国内のQSA一覧は、当協議会のホームページに掲載しています。
カード発行会社をはじめ、情報の取扱い規模の大きな事業者に、要請されている方法です。

2:自己問診

PCI DSSの要求事項に基づいた、アンケート形式によるチェック項目に回答して、すべて「Yes」であれば、経営役員の署名を経て、準拠していると認められます。カード情報取扱い件数の比較的少ない、一般加盟店などの事業者向けの方法です。
当初の自己問診は、セキュリティに関するITの専門用語が並んでいて、一般の商店経営者の方がこの設問を理解するのは、かなりたいへんな内容でした。その後は一般加盟店やサービスプロバイダーなどの形態別に分けて制作され、PCI DSSを理解いただけるよう、工夫されています。
日本語版もPCI SSCのサイトからダウンロードできるようになっています。

サイトスキャン

訪問審査と自己問診のいずれの方法による場合も、WEBサイトから侵入されて、情報を盗み取られることがないか、PCI SSCによって認定されたベンダー(ASV=Approved Scanning Vendor) の外部ネットワークスキャンによって、四半期に1回以上の点検を受けて、サイトに脆弱性のないことの認証を得ることが求められます。ASVの一覧は、PCI SSCのサイトに掲示されています。
また、内部ネットワークの脆弱性スキャンやペネトレーションテスト、アプリケーションの脆弱性検査などは、PCI SSCが認定しているベンダーに限定はされませんが、適正な信頼性のあるベンダーによる検査が求められています。

認定審査機関について

日本国内においてPCIDSSの訪問審査が可能なQSA(認定審査機関)は現在では20社を超えてきており、日本でも、本格的にPCI DSS遵守を審査できる態勢が整ってきています。
下記のPCI SSCのサイトで認定審査機関(QSA)の一覧が確認できます。

https://listings.pcisecuritystandards.org/
assessors_and_solutions/qualified_security_assessors

※原稿提供:日本アイ・ビー・エム株式会社

導入が必要な企業

カード情報を「保存、処理、または伝送する」企業であるカード加盟店、銀行、決済代行など行うサービス・プロバイダーが、年間のカード取引量に応じて、PCI DSS に準拠する必要があります。
カード取引量がPCI DSS準拠の基準に満たさなくても、各カードブランドが制定しているセキュリティー基準プログラムに準拠する必要があります。

PCI DSS遵守の対応が想定されるお客様

イシュアー、アクワイアラー、サービス・プロバイダー、加盟店

<業界例>
金融業:クレジットカード会社、クレジットカード発行金融機関
流通業: 大手百貨店、スーパー、量販店、鉄道、航空会社
通信/メディア/公共:携帯電話会社、通信会社、ユーティリティ、新聞
製造業:石油業界 他

広告掲載について

  1. 外部のサイトへリンクします。
  • PマークとPCI DSS
  • ISMSとPCIDSS
  • 参考資料
  • 関連リンク