PCI DSSとは？カード事業者の基準・準拠対象・適用範囲・取得手順

最終更新日：2018-06-13（記事の情報は現在から2138日前のものです）

PCI DSS（Payment Card Industry Data Security Standard）とは、クレジットカード情報の保護と安全を目的に策定された基準です。日本でも行動計画に採用され、多くの加盟店が準拠を迫られました。その詳細について、準拠の手順や対応策を含めて解説します。

目次を閉じる

PCI DSSとは

PCI DSS（Payment Card Industry Data Security Standard）とは、クレジットカードの加盟店やクレジット会社、決済代行会社に対し、会員データや決済データの安全な取り扱いを求めるセキュリティ基準です。

日本でも、一般社団法人日本クレジット協会の実行計画により、2018年3月末までにクレジット会社・決済代行会社・EC事業者がPCI DSS準拠を求められ、多くの対象事業者が対応に迫られました。

本記事では、PCI DSSの詳細とともに、準拠の手順や各事業者の対応策について解説します。

PCI DSSが策定された経緯

PCI DSSは、VISA、MasterCard、American Express、Discover、JCBの国際カードブランド5社で設立されたPCI SSCが策定し、運営・管理しています。この背景には、インターネットの普及とクレジットカードの利用増があります。

もともと各カードブランドは、独自のセキュリティ基準を設定しており、クレジット会社や加盟店に準拠を求めていました。

しかし、安全性の低いネットワークや決済システムからカード情報の窃盗が続発し、会員・決済データの漏えいリスクを低減すべく、共通のセキュリティ基準が必要になったのです。

この結果、PCI DSSは世界的に統一された、クレジットカード情報保護のセキュリティ基準として浸透したのです。

PCI DSSの適用範囲と対象事業者

それでは、PCI DSS準拠の対象となるのは、どのような事業者で、その適用範囲はクレジット決済過程のどこからどこまでになるのでしょうか。

PCI DSS準拠の対象事業者

PCI DSSでは、クレジットカード情報を保存、処理、伝送する事業者が準拠の対象となります。

具体的には、クレジット会社、決済代行会社、銀行はもちろん、加盟店もその対象であり、航空・鉄道会社、新聞社など、その範囲は広範にわたります。

対象となる事業者は、年間のカード取引量に応じ、それぞれにあわせたレベルのPCI DSSに準拠する必要があるのです。

PCI DSSの適用範囲

クレジットカード情報を取り扱うシステムのうち、PCI DSSは以下の範囲に適用されます。

クレジットカードリーダー
POSシステム
ネットワークとルーター
カード情報の保管・伝送システム
カード情報を含む書類
オンラインの決済情報

これらの一部にでもクレジットカード情報が「保存、処理、伝送」される場合、PCI DSS準拠が必須となります。

たとえば、リーダーやPOSシステムを持たないEC事業者でも、ECサイトの一部にカード情報が「保存、処理、伝送」されれば、PCI DSS準拠対象となるのです。

PCI DSSの統制目標と要件

PCI DSSによるセキュリティ基準では、6つの統制目標と、それに対応する12の要件が定められています。

PCI DSS準拠のためには、これらすべてを満たす必要があるのです。

上図で示した12の要件は、さらに詳細な約400項目に細分化されています。

PCI DSS準拠認定の準備・取得手順

上述した統制目標と要件を満たし、PCI DSS準拠認定を受けるには、どのような準備を行い、どのような手順を踏めばいいのかを解説していきます。

PCI DSS対応への4つのプロセス

まずは、PCI DSS準拠認定に向けた準備を行う必要があり、一般的には以下の4つのプロセスを経て行われます。

事前準備

クレジットカード決済にかかわる自社システムを見直し、PCI DSSに準拠する必要のある範囲を洗い出します。

ギャップ分析

PCI DSS適用範囲である自社システムのセキュリティ状況を把握し、PCI DSSの要求事項とのギャップを分析します。

分析完了後、要求事項との差を埋める改善計画を策定します。

対策実行

セキュリティポリシーの文書化、システムの再設計・実装など、計画にもとづいた対策を実行します。

テスト実施

システムスキャンやセキュリティチェックなどを実施し、結果に応じてシステムの改修を行います。

PCI DSS認定審査に向けた準備、調整などもこの段階で行います。

PCI DSS認定3つの取得方法

すでに解説したとおり、PCI DSSには年間のカード取引量に応じたレベルが設定されています。PCI DSS認定取得には、そのレベルに応じた3つの方法があります。

訪問調査

PCI SSCの認定審査機関であるQSA（Qualified Security Assessor）が、各事業者を訪問する方法です。

具体的には、セキュリティ対策や、システムの運用、情報の取り扱い状況などに関するインタビューや検査が行われ、認定審査員から対象事業者に審査結果が報告されます。

カード発行会社であるイシュアなど、カード取扱量が大規模な企業が対象です。

サイトスキャン

PCI SSCの認定ベンダーであるASV（Approved Scanning Vender）が、スキャンツールを使用して各事業者を点検する方法です。

具体的には、遠隔操作により、インターネットに接続されている事業者のネットワーク機器や、サーバのぜい弱性がチェックされます。

カード取扱量が中規模の企業、EC事業者などのインターネット接続が前提の事業者が対象です。

自己問診

PCI DSSにもとづいたアンケートに回答する方法です。

具体的には、用意された自己評価問診票に、はい・いいえ・該当なしで回答し、この結果によってPCI DSSの基準をどの程度満たしているかが判断されます。

カード取扱量が比較的小規模な加盟店などが対象になります。

カード情報の非保持化を目指した加盟店

ここまでの解説でもおわかりのように、要件が多く、適用範囲の広いPCI DSS認定取得は、膨大なコストと時間がかかり、投入すべきリソースもまた膨大です。

認定必須ともいえるカード会社はともかく、一般の加盟店やEC事業者は、PCI DSS準拠対応をどのように行ったのでしょうか。

カード情報の非保持化とは

繰り返しになりますが、PCI DSS準拠の対象事業者は、自社システム内にクレジットカード情報を「保存、処理、伝送」する事業者です。

逆にいえば、自社システム内にクレジットカード情報を「保存、処理、伝送」しない場合「カード情報の非保持化」がされているとみなされます。

つまり、PCI DSS準拠の対象事業者ではないということです。

たとえば商品購入の際に、自社ドメイン内をカード情報が通過して決済代行会社へ届く「ゲートウェイ方式」のECサイトなどは、カード情報を「保存、処理、伝送」するとみなされます。

これに対し、顧客がクレジット決済を選択した時点で、決済代行会社のドメインへ移行する「ハイパーリンク方式」では、ECサイトドメイン内にカード情報が「保存、処理、伝送」されません。

もちろん、PCI DSS準拠の必要がなくなるからといって、セキュリティ保護に無頓着でいいわけではありません。

それを踏まえたうえで、多くの加盟店は「カード情報の非保持化」によって、PCI DSSへ対応したのです。

非保持化を目指す背景

法的拘束力を持たないにもかかわらず、なぜ加盟店やEC事業者は「カード情報の非保持化」という手段を使ってまで、PCI DSS対応を目指したのでしょうか。

その背景には、国際ブランドがイシュアなどのクレジット会社に課している罰則規定があります。

PCI DSSに準拠しない加盟店などから、カード情報漏えいによる被害が発生した場合、国際ブランドはカード再発行手数料や莫大な違約金をクレジット会社へ請求します。

クレジット会社はその請求を、PCI DSSに準拠していないという理由から、加盟店に求めるのです。

仮に違約金が発生しなくとも、最悪の場合は加盟契約打ち切りなどに発展することが考えられ、加盟店は社会的信用の失墜から、廃業に追い込まれる可能性もあるのです。

重要度の増すカード情報のセキュリティ基準

欧米に比べればまだまだ低いものの、日本でもクレジットカード利用率が年々高まり、その重要度も増しています。

今後も拡大が見込めるEC市場や、訪日外国人の増加を背景に、この傾向はますます強まっていくでしょう。

同時に、こうした状況を狙ったサイバー攻撃がより巧妙化し、セキュリティ要件もより厳格化せざるを得ません。

これに対応すべく、PCI DSSも定期的なアップデートで、より安全性の高いセキュリティ要件策定を続けています。

事業者側でもこれを遵守し、業界が一体となって、セキュリティ意識を向上させていくことが求められているのです。

BOXILとは

BOXIL（ボクシル）は企業のDXを支援する法人向けプラットフォームです。SaaS比較サイト「BOXIL SaaS」、ビジネスメディア「BOXIL Magazine」、YouTubeチャンネル「BOXIL CHANNEL」、Q&Aサイト「BOXIL SaaS質問箱」を通じて、ビジネスに役立つ情報を発信しています。

BOXIL会員（無料）になると次の特典が受け取れます。