PCI DSSとは?カード事業者の基準・準拠対象・適用範囲・取得手順
目次を閉じる
PCI DSSとは
PCI DSSとは、クレジットカードの加盟店やクレジットカード会社、決済代行会社に対し、会員データや決済データの安全な取り扱いを求めるセキュリティ基準です。PCI DSSは「Payment Card Industry Data Security Standard」の頭文字を取っています。現在は2022年に発表されたv4.0が最新版で、前バージョンのv3.2.1も、有効期限の2024年3月末を迎えるまでは利用できました。
PCI DSSは、VISA・MasterCard・American Express・Discover・JCBの国際カードブランド5社が、共同で設立した組織が策定しました。この組織はPCI SSC(PCI Security Standards Council)と呼ばれ、PCI DSSの管理や維持のほか普及活動も行っています。
PCI DSSが策定された経緯
PCI DSSが策定された背景には、インターネットの普及とクレジットカードの利用拡大があります。もともと各カードブランドは、独自のセキュリティ基準を設定しており、クレジット会社や加盟店に準拠を求めていました。しかし、ブランドそれぞれの要件に対応するのは加盟店にとって大きな負担でした。
さらにインターネットが普及するにつれ、安全性の低いネットワークや決済システムからカード情報の窃盗が続発。そこで加盟店の負担や情報漏えいリスクを低減すべく、国際カードブランド5社が世界的に統一された、クレジットカード情報保護のセキュリティ基準として、PCI DSSを策定しました。
日本におけるPCI DSS
日本においてはクレジット取引セキュリティ対策協議会が、2016年カード情報をもつ企業にPCI DSS準拠を求めたことで注目が集まりました。また、2018年に施行された法律「改正割賦販売法」で、加盟店も含めカード情報の管理や不正使用対策が義務づけられたことで、PCI DSSが重視されるようになりました。
さらに近年はキャッシュレス決済の普及が進んでおり、今後安全にクレジットカードカードが利用できる環境を維持するため、PCI DSSはより重要なセキュリティ基準となるでしょう。
PCI DSSの適用範囲と対象事業者
ではPCI DSS準拠の対象となる事業者や、クレジット決済における適用範囲について詳しく紹介します。
PCI DSS準拠の対象事業者
PCI DSSでは、クレジットカード情報を保存・処理・伝送する事業者が、準拠の対象です。クレジット会社や決済代行会社、銀行はもちろんカード加盟店もPCI DSSに準拠します。対象となる主な業界や業種は次のとおりです。
- 金融業:クレジットカード会社・金融機関
- 製造業:石油産業
- 流通業:百貨店・小売店・量販店・鉄道会社・航空会社
- 通信・メディア・公共:通信事業者・新聞社・携帯電話会社
対象事業者は年間のカード取引量に応じ、それぞれのレベルにあわせた、PCI DSSに準拠する必要があります。
PCI DSSの適用範囲
クレジットカード情報を取り扱うシステムのうち、PCI DSSは次の範囲に適用されます。
- クレジットカードリーダー
- POSシステム
- ネットワークとルーター
- カード情報の保管・伝送システム
- カード情報を含む書類
- オンラインの決済情報
これらのうち一部でもクレジットカード情報が「保存・処理・伝送」される場合、PCI DSS準拠が必須です。たとえばリーダーやPOSシステムをもたないEC事業者でも、ECサイトの一部にカード情報が「保存・処理・伝送」されれば、PCI DSS準拠対象となるため注意が必要です。
PCI DSSの統制目標と要件
PCI DSSによるセキュリティ基準では、6つの統制目標と、それに対応する12要件が定められています。PCI DSS準拠のためには、これらすべてを満たす必要があります。
なお上図で示した12の要件は、さらに詳細な約400項目に細分化されます。
PCI DSS準拠認定のメリット
企業においてPCI DSS準拠が認証されるメリットとしては、企業価値が向上するほか、情報漏えいリスクの低減が挙げられます。セキュリティのぜい弱な部分が把握できるようになるため、ハッカーやクラッカーによる不正アクセスが防止でき、サイトの改ざんや悪用、情報盗用などリスクを低減可能です。
PCI DSS準拠認定の準備・取得手順
上述した統制目標と要件を満たし、PCI DSS準拠の認証を受けるには、どのような準備を行い、どのような手順を踏めばいいのか解説します。
PCI DSS対応への4つのプロセス
まずはPCI DSS準拠の認証に向けた準備を行う必要があり、一般的には次の4つのプロセスを経て行われます。
- 事前準備
- ギャップ分析
- 対策実行
- テスト実施
事前準備
クレジットカード決済にかかわるシステムを確認し、カード会員情報の取り扱い範囲を特定してから、PCI DSSに準拠すべき範囲を確定させます。対象範囲の大きさによっても必要となる人材や費用が変わるため、慎重に範囲を決定しましょう。
ギャップ分析
システムのセキュリティや運用状況を把握し、PCI DSSの要求事項とのギャップを分析します。分析完了後要求事項との差を埋める、改善計画を策定します。計画書を作成することで、スケジュールや改善点も共有しやすくなるでしょう。
対策実行
セキュリティポリシーの文書化、システムの再設計・実装など、計画にもとづいた対策を実行します。またそれぞれの確認作業もしっかり行いましょう。
テスト実施
システムスキャンやセキュリティチェックなどを実施し、結果に応じてシステムの改修を行います。PCI DSS認定審査に向けた準備、調整などもこの段階で行います。
PCI DSS認定3つの取得方法
すでに解説したとおり、PCI DSSには年間のカード取引量に応じたレベルが設定されています。PCI DSS認定取得には、このレベルに応じた3つの方法があります。
- 訪問審査
- サイトスキャン
- 自己問診(SAQ)
訪問審査
PCI SSCの認定審査機関である、QSA(Qualified Security Assessor)が、各事業者を訪問する方法です。QSAは日本国内でも10社以上存在し、富士通株式会社もQSAの1つです。QSA一覧はPCI SSCの公式サイトから確認できます。
訪問審査は具体的にセキュリティ対策やシステムの運用、情報の取り扱い状況などに関するインタビューや審査が行われ、認定審査員から対象事業者に審査結果が報告されます。
カード発行会社であるイシュアといった、カード取扱量の大規模な企業が対象です。
サイトスキャン
PCI SSCの認定ベンダーであるASV(Approved Scanning Vender)が、スキャンツールを使用して各事業者を点検する方法です。遠隔操作によりインターネットに接続されている事業者のネットワーク機器や、サーバーのぜい弱性がチェックされます。カード取扱量が中規模の企業やEC事業者などのインターネット接続を行う事業者が対象です。
自己問診(SAQ)
PCI DSSにもとづいたアンケートに回答する方法です。具体的には、用意された自己評価問診票に、はい・いいえ・該当なしで回答し、この結果によってPCI DSSの基準をどの程度満たしているかが判断されます。カード取扱量が比較的小規模な加盟店が対象です。
PCI DSS認証取得にかかる費用・期間
PCI DSS認証取得にかかる審査費用は、企業の規模によっても変わります。しかし小規模な加盟店でも初期費用だけで最低1,000万円以上はかかります。さらに、保守といった運用費用で月100万円以上がかかり、2年に1度は更新が必要です。またPCI DSS認証取得にかかる期間は、半年~1年と長期になるためじっくり取り組むのがおすすめです。
カード情報の非保持化を目指した加盟店
要件が多く適用範囲の広いPCI DSS認定取得は、膨大なコストと時間がかかり、投入すべきリソースもまた膨大です。では、認定必須ともいえるカード会社は別として、一般の加盟店やEC事業者はPCI DSS準拠対応をどのように行っているのでしょうか。
カード情報の非保持化とは
繰り返しになりますが、PCI DSS準拠の対象事業者は、自社システム内にクレジットカード情報を「保存・処理・伝送」する事業者です。これは逆にいえば、自社システム内にクレジットカード情報を「保存・処理・伝送」しない場合、「カード情報の非保持化」がされているとみなされます。
つまり、PCI DSS準拠の対象事業者ではないといえます。たとえば商品購入の際に、自社ドメイン内をカード情報が通過して決済代行会社へ届く、「ゲートウェイ方式」のECサイトは、カード情報を「保存、処理、伝送」するとみなされるでしょう。
これに対し顧客がクレジット決済を選択した時点で、決済代行会社のドメインへ移行する「ハイパーリンク方式」では、ECサイトドメイン内にカード情報が「保存、処理、伝送」されません。
もちろん、PCI DSS準拠の必要ないからといって、セキュリティ保護に無頓着でいいわけではありません。しかし多くの加盟店は、それらを踏まえたうえで「カード情報の非保持化」によって、PCI DSSへ対応しています。
非保持化を目指す背景
法的拘束力をもたないにもかかわらず、なぜ加盟店やEC事業者は「カード情報の非保持化」の手段を使ってまで、PCI DSS対応を目指したのでしょうか。背景には、国際ブランドがイシュアといったクレジット会社に課している罰則規定が挙げられます。
PCI DSSの基準に違反した企業からカード情報漏えいによる被害が発生した場合、国際ブランドはカード再発行手数料や莫大な違約金をクレジット会社へ請求可能です。さらにクレジット会社はこれらの請求を、PCI DSSに準拠していないことを理由に、加盟店に求められます。
この場合仮に違約金が発生しなかったとしても、最悪の場合加盟契約が打ち切りになる可能性も考えられるでしょう。そのため加盟店は社会的信用の失墜や、廃業に追い込まれる可能性を恐れ、「カード情報の非保持化」で対応を行っています。
重要度の増すカード情報のセキュリティ基準
欧米や中国に比べればまだまだ低いものの、日本でもキャッシュレスの利用率は年々高まり、クレジットカードの重要度も増しています。今後も拡大が見込めるEC市場や、訪日外国人の増加を背景に、この傾向はますます強まっていくでしょう。
同時に、こうした状況を狙ったサイバー攻撃がより巧妙化するため、セキュリティ要件もより厳格化せざるを得ません。これに対応すべく、PCI DSSも定期的なアップデートで、より安全性の高いセキュリティ要件策定を続けています。
そのため事業者側でもこれを遵守し、業界が一体となり、セキュリティ意識を向上させる必要があるでしょう。
BOXILとは
BOXIL(ボクシル)は企業のDXを支援する法人向けプラットフォームです。SaaS比較サイト「BOXIL SaaS」、ビジネスメディア「BOXIL Magazine」、YouTubeチャンネル「BOXIL CHANNEL」を通じて、ビジネスに役立つ情報を発信しています。
BOXIL会員(無料)になると次の特典が受け取れます。
- BOXIL Magazineの会員限定記事が読み放題!
- 「SaaS業界レポート」や「選び方ガイド」がダウンロードできる!
- 約800種類のビジネステンプレートが自由に使える!
BOXIL SaaSでは、SaaSやクラウドサービスの口コミを募集しています。あなたの体験が、サービス品質向上や、これから導入検討する企業の参考情報として役立ちます。
BOXIL SaaSへ掲載しませんか?
- リード獲得に強い法人向けSaaS比較・検索サイトNo.1※
- リードの従量課金で、安定的に新規顧客との接点を提供
- 累計1,200社以上の掲載実績があり、初めての比較サイト掲載でも安心
※ 日本マーケティングリサーチ機構調べ、調査概要:2021年5月期 ブランドのWEB比較印象調査
