• 協議会について
  • 日本カード情報セキュリティ協議会
  • 概要・ごあいさつ
  • 登録企業一覧
  • 会則
  • 入会案内
  • 部会の活動
  • PCI DSS
  • グローバルセキュリティ基準PCI DSSとは
  • 概要
  • 認定取得のメリット
  • 認定取得について
  • 認定審査機関について
  • 導入が必要な企業
  • 企業一覧
  • PCI DSS準拠への参考資料集
  • 非保持化への参考資料
  • 非保持・PCI DSS対応の加盟店事例紹介
  • 会員専用
  • サイトスポンサー
  • お問合せ
  • pcidss

ISMSとPCI DSS

情報セキュリティの公的な認証としては、ISMS(ISO27001)が一般によく知られています。
企業の保有する情報をイメージで表すと下図のようになりますが、企業情報全般の中に個人情報があり、クレジットカード情報は個人情報が含まれた、企業が守るべき重要な情報といえます。
ISMSは企業情報全般に対して、充分なセキュリティが施されている仕組みがあることを、公的に認証するものですから、ISMSに合格しているなら、特にPCIDSSは必要ないのではないか、という考え方もあります。
では、クレジットカード情報を保護するうえで、どうしてPCIDSSが必要なのかを見ていきましょう。


ISMSより具体的で深さが要求される

PCIDSSはネットワークの安全確保を中心に、カード会員データの保護、アクセス制御手法など12の要件に基づいた、具体的な要求事項で構成されています。
ISMS(ISO27001)やプライバシーマークのマネジメントシステム(JISQ15001)と比較すると、PCIDSSはクレジットカード情報保護の範囲に特化し、かつ深さが要求されているのが特徴です。
例えば、情報にアクセスするためのパスワードについて、各ユーザーにどのようなルールで設定させればよいか、という基準をISMSと比較してみましょう。

ISMSでは要求事項9.(3).@に、次のように書かれています。

「パスワードの選択及び使用に際して、正しいセキュリティ慣行に従うことを、利用者に要求すること」

では「正しいセキュリティ慣行」とは何なのでしょうか。
それは各企業の事業内容や業務の形態、守るべき情報の重要度によっても異なるため、具体的に定めていないのです。それぞれの企業が、自社の状況やリスクの度合いを洗い出し、合理的な判断のもとにルールを決めて、社内に徹底すればよい、という考え方がISMSです。
これは、企業側が主体性と自己責任意識をもってルールを定めるには、有効な考え方といえますが、すべてのセキュリティに100%の完璧を求めることは難しく、リスクとコストのバランスも考えなければなりません。すべてに万全を期せば、確かに安全性は高くなりますが、「鶏肉に牛刀」のようなコストの使い方では、過剰な投資になったり、効率性の問題が発生したりする弊害が大きくなってしまいます。

具体的な目安となるPCI DSSの要求基準

ではこのパスワードの設定に関する、PCI DSSの要求事項を見てみましょう。

・数字と英字の両方を含むパスワードを使用する。
・パスワードの長さは、少なくとも7文字にする。
・パスワードは少なくとも90日ごとに変更する。
・直近4回使用されたパスワードは、新しいパスワードとして使用できないようにする。
・ユーザーIDのロックアウトにより、連続したアクセス試行を6回以内に制限する。
・ロックアウト時間は最低30分間、またはアドミニストレーターが許可するまでとする。
・セッションのアイドル時間が15分を超えた場合、パスワードの入力を再び要求する。


など、ISMSとは対照的に、具体的な方法までかなり細かく規定されていることが分かります。情報漏洩が、金銭的な事故に直結する可能性が大きいクレジットカードですから、取扱い事業者にはこれだけ厳しいセキュリティを要求しないと、カードを利用するお客様の安全を守れないというのが、国際カードブランドの一致した考え方なのです。


※原稿提供:日本オフィス・システム株式会社
  1. 外部のサイトへリンクします。
  • PマークとPCI DSS
  • ISMSとPCIDSS
  • 参考資料
  • 関連リンク