• 協議会について
  • 日本カード情報セキュリティ協議会
  • 概要・ごあいさつ
  • 登録企業一覧
  • 会則
  • 入会案内
  • カード業界を取り巻く環境とセキュリティーの重要性
  • PCI DSS
  • グローバルセキュリティ基準PCI DSSとは
  • 概要
  • 認定取得のメリット
  • 認定取得について
  • 認定審査機関について
  • 導入が必要な企業
  • 企業一覧
  • 対応ソリューション一覧
  • 会員専用
  • サイトスポンサー
  • お問合せ
  • pcidss

PCI DSSとは

概要

加盟店やサービスプロバイダにおいて、クレジットカード会員データを安全に取り扱う事を目的として策定された、クレジットカード業界のセキュリティ基準です。
Payment Card Industry Data Security Standardsの頭文字をとったもので、国際カードブランド5社(American Express、Discover、JCB、MasterCard、VISA)が共同で設立したPCI SSC(Payment Card Industry Security Standards Council)によって運用、管理されています。

元々は各国際カードブランドが独自に運用していたリスク管理プログラムがあり、加盟店は各ブランドの求める要求に応える必要がありました。しかし、ひとつの加盟店で複数のカードが使える仕組み(マルチアクワイヤリング)が一般的な現在、各ブランドの要求に対応しなくてはならない加盟店にとっては、非常に大きな負荷とならざるを得ない状況だったわけです。
その状況とは裏腹に、インターネットの普及に合わせ、国境を隔てたネット決済の普及とともに、極めて大規模なクレジットカード被害も世界規模で発生するようになり、ICカードによるカード偽造防止や対面取引における暗証番号での本人確認ではますます不十分となってきました。

ここで、加盟店のリスクとコストに対応できる仕組みを作るべく、国際カードブランド5社が手を合わせ、世界的に統一されたクレジットカード情報保護のためのセキュリティ対策フレームワークができる流れとなりました。

認定取得のメリット

PCI DSS遵守により、企業価値(信用、ブランド)の向上はもちろんのこと、これまでの個人情報保護制度と違い、より具体的にセキュリティポリシーを定義されることにより、現実的にハッカーやクラッカー等による 様々な不正アクセスからお客様のサイトを保護し、サイトの改ざんや悪用、情報盗用などのリスクを低減します。
また、PCIDSSを推奨する国際5ブランドの一つビザ・インターナショナルでは、加盟店等からカードに関する情報が流出して不正使用された場合、その加盟店がPCI DSSに準拠していれば、 その管理責任のあるカード会社(アクワイアラ)に求められる損害の補償の義務が免責されます。

認定取得について

PCIDSSへの具体的な対応方法は、カード情報の取扱い形態や規模によって、3つの方法があります。

1:訪問審査

PCI国際協議会によって認定された審査機関(QSA=Qualified Security Assessor)による訪問審査を受けて、認証を得る。QSAの一覧は、PCI国際協議会のサイトに掲示されています。
カード発行会社をはじめ、情報の取扱い規模の大きな事業者に、要請されている方法です。



2:サイトスキャン

WEBサイトから侵入されて、情報を盗み取られることがないか、PCI国際協議会によって認定されたベンダー(ASV=Approved Scanning Vendor) のスキャンツールによって、四半期に1回以上の点検を受けて、サイトに脆弱性のないことの認証を得る。ASVの一覧は、PCI国際協議会のサイトに掲示されています。
カード情報の取扱いが中規模、およびインターネットに接続している事業者には必須の方法です。



3:自己問診

PCIDSSの要求事項に基づいた、アンケート形式によるチェック項目に回答して、すべて「Yes」であれば、準拠していると認められます。カード情報取扱い件数の比較的少ない、一般加盟店などの事業者向けの方法です。
当初のVer1.0は、セキュリティに関するITの専門用語が並んでいて、一般の商店経営者の方がこの設問を理解するのは、かなりたいへんな内容でした。そこで2008年2月に改訂されたVer1.1では、一般加盟店やサービスプロバイダーなどの形態別に分けて制作され、PCIDSSを理解いただけるよう、工夫されています。
日本語版は2008年10月からVISA-Japanのサイトに掲載されています。


以上の3つの方法については、いずれか1つの適用というわけでなく、カード情報の取扱い規模や事業形態によって、複数を実施する必要があります。
またAISやSDPなど、各カードブランドのプログラムによって、適用するレベルが異なっています。

認定審査機関について

日本国内においてPCIDSSの訪問審査が可能なQSA(認定審査機関)は、2009年2月現在では10社を超えてきました。日本でも、本格的にPCIDSS遵守を審査できる態勢が整ってきたといえます。
下記のPCISSCのサイトで認定審査機関(QSA)の一覧が確認できます。

「QSAs」英文中の「here」をクリックすると、認定審査機関(QSA)の一覧PDFファイルが表示されます。

また、「ASVs」「here」からも同様に、認定スキャンベンダー(ASV)とスキャンツールの一覧PDFファイルが表示されます。

https://www.pcisecuritystandards.org/qsa_asv/find_one.shtml


※原稿提供:日本アイ・ビー・エム株式会社

導入が必要な企業

カード情報を「保存、処理、または伝送する※1」企業であるカード加盟店、銀行、決済代行など行うサービス・プロバイダーが、年間のカード取引量に応じて、PCI DSS 準拠する必要があります。
カード取引量がPCI DSS準拠の基準に満たさなくても、各カードブランドが制定しているセキュリティー基準プログラムに準拠する必要があります。

PCI DSS遵守の対応が想定されるお客様

イシュアー、アクワイアラー、サービス・プロバイダー、加盟店

業界例
金融業:クレジットカード会社、クレジットカード発行金融機関
流通業: 大手百貨店、スーパー、量販店、鉄道、航空会社
通信/メディア/公共:携帯電話会社、通信会社、ユーティリティ、新聞
製造業:石油業界 他

  1. 外部のサイトへリンクします。
  • PマークとPCI DSS
  • ISMSとPCIDSS
  • 参考資料
  • 関連リンク