PCI SSCとは？設立背景・仕組み - 国際カードブランドによるデータセキュリティ管理

PCI SSCとは

PCI SSCとは、安全にクレジットカードを取り扱うため、VISA・MasterCard・American Express・Discover・JCBの、国際カードブランド5社が設立した組織です。PCI SSCは、「Payment Card Industry Security Standards Council」の頭文字を取っています。

PCI SSCは、クレジットカード業界におけるセキュリティ基準「PCI DSS」の策定を行った組織であり、現在行っている活動はPCI DSSの管理・運用・普及などです。

本記事では、PCI SSCが管理するセキュリティ基準とはどのようなものか、運営はどのように行われるのか日本でも注目が集まっている背景を含めて解説します。

PCI DSSとは

PCI DSSとはクレジット会社・加盟店などが、クレジットカード情報を安全に取り扱えるよう、2004年12月に制定された国際的なセキュリティ基準です。PCI DSSは「Payment Card Industry Data Security Standard」の、頭文字を取っています。

対象となるのはクレジットカード会社はもちろん、カード加盟店や決済代行会社など、カード情報を管理・処理・伝送するすべての組織です。これらの事業者は、年間のカード取扱量に応じたレベルでPCI DSSに準拠する必要があります。

PCI DSSは達成すべき6つの統制目標と、それに対応する12の要件が定められており、審査機関から認証を受けるためには、この12の要件すべてを満たさなければなりません。

PCI SSC設立の背景

2004年にPCI SSCが設立される以前、国際カードブランド各社はそれぞれ独自のセキュリティ基準を定め、クレジット会社・加盟店に準拠を求めていました。

しかし、複数のカードブランドを扱う店舗が当たり前になり、クレジット会社・加盟店がそれぞれ異なるセキュリティ基準すべてをクリアするのが困難になりました。こうした問題を解決するため、統一されたセキュリティ基準である、PCI DSS策定を目的に設立されたのがPCI SSCです。

高まるクレジットカードのセキュリティ対策

PCI DSSが策定された目的は、クレジット会社・加盟店の利便性ばかりではありません。インターネットの普及とクレジットカードの利用増により、安全性の低いネットワークや決済システムから、カード情報の窃盗が続発したことも理由の1つです。

これによりクレジットカード業界では、会員・決済データの漏えいリスクを低減すべく、強力で統一されたセキュリティ基準を必要としました。むしろ、PCI DSS策定の主な目的はこちらにあるといえるでしょう。

クレジットカード取引が国内重要インフラに指定

日本でも、政府が国内重要インフラ13分野のひとつにクレジットカード取引を指定したことで、PCI DSSは注目を集めました。これは2020年の東京オリンピック開催により、数年にわたる訪日外国人の激増が理由として挙げられます。

インバウンド需要を確実に取り込むべく、前提として安全なクレジットカードの利用環境を実現するために、政府はセキュリティ基準としてPCI DSSの採用を決定しました。

またこれを受け、一般社団法人日本クレジット協会が実行計画を策定。2018年3月末までのPCI DSS準拠を、クレジット会社・決済代行会社・EC事業者に求めました。

PCI SSCのセキュリティ管理範囲と拘束力

PCI SSCは、クレジットカードのセキュリティ基準の策定・運用・管理に特化した組織であり、管理範囲は「PCI基準」といわれます。

ではPCI基準にはどのようなものがあるのか、またそれらの法的な拘束力について解説しましょう。

PCI DSS

PCI DSSとは、前述したようにクレジットカードの、セキュリティ基準すべてのもととなるフレームワークです。6つの統制目標と、それに対応する12の要件が定められています。

PCI DSS準拠の対象企業は、自社のクレジットカード情報取り扱い範囲を設定することで、効率的に上記の要件を満たして準拠対応を行います。

PA-DSS

PA-DSSとは、Payment Application-Data Security Standardの略称であり、PCI DSSから派生した、決済アプリケーションに関するセキュリティ基準です。PA-DSSに準拠した決済アプリケーションの採用は、加盟店といった企業の情報漏えいリスクを軽減し、結果的にPCI DSSへの準拠を容易にします。

PCI PTS

PCI PTS（Payment Card Industry Pin Transaction Security）とは、POSやCATなどのクレジットカードPIN入力を行う端末のセキュリティ基準です。こちらもPCI DSSから派生しています。PIN転送時の暗号化、破壊に対する強度など、スキミング対策も含めた厳しい要件を満たす必要があります。

PCI DSSへの準拠

PCI DSSは、クレジットカードのセキュリティ基準として、事実上の世界統一基準です。しかし、そこから派生したPA-DSSやPCI PTSを含め、PCI DSSには法的な拘束力がありません。にもかかわらず、クレジット会社や決済代行会社、加盟店がPCI DSS準拠へ対応するのはなぜでしょうか？

それは、PCI DSSに準拠せずクレジットカードの情報漏えいによる被害が起きた際、国際カードブランドからクレジット会社へ課せられる罰則があるからです。被害によって発生したカード再発行手数料や莫大な違約金は、国際カードブランドがクレジット会社へ請求します。ところがクレジット会社はこの請求を、PCI DSSに準拠していないことを理由に加盟店へ求めます。

各企業はこの請求を回避するため、PCI DSS準拠へ対応せざるを得ないのが現状です。一方で莫大なコストと労力のかかるPCI DSS準拠は、加盟店にとっては大きな負担です。そのため現在多くの企業は、PCI DSS準拠を避けるカード情報の非保持化を目指す流れになっています。

PA-DSSとは

クレジットカード会社や加盟店などが対象のPCI DSSとは異なり、決済アプリケーションを開発するソフトウェアメーカーといった企業を対象に、セキュリティ要件を定めたのがPA-DSSです。

なおPA-DSSは2022年10月に終了しており、現在は新基準としてPCI SSF（PCI Software Security Framework）が採用されています。SSFは、PA-DSSから対象となる決済アプリやソフトウェアの範囲が拡張しており、これまで対処できなかった問題にも対応できるよう要件が定められています。

決済アプリケーションとは

決済アプリケーションとは、クレジットカード情報を読み込んで承認を行うPOS端末搭載アプリケーションや、インターネット決済を行うソフトウェアなどを指します。これらが準拠すべきセキュリティ要件を定めたのがPA-DSSであり、開発を行うメーカーやベンダーが対象です。

この場合の決済アプリケーションは「第三者に販売、配布、ライセンス供与」されるもの、と定義されており、特定の加盟店向けに開発・販売されるアプリケーションは含まれません。加盟店がPCI DSS準拠に向け自社システム改修を行う際に、「加盟店専用に開発された決済アプリケーション」が含まれ、要件に沿った改修を加盟店主導で行う必要があるからです。

これに対し、第三者に向けた「汎用の決済アプリケーション」は、PCI DSSに準拠するための改修を加盟店側が行えません。このため、加盟店がカスタマイズせずともPCI DSSに準拠できるよう、メーカー・ベンダーがPA-DSSに準拠した、決済アプリケーションを開発する必要があります。

PCI SSCとQSAの関係

PA-DSS準拠に向けて開発されたアプリケーションは、審査機関からの認定を取得しなければなりません。この業務を行うのがPCI SSCの認定審査機関である、PA-QSA（Payment Application Qualified Security Assessor）です。

主にPCI DSSの審査を行う、QSA（Qualified Security Assessor）との違いは、PA-DSSに特化した審査ができるかどうかです。QSAの経験が必須とされるPA-QSAは、QSAの業務を兼ねた審査ができます。なおPCI SSCはこうした認定業務には直接かかわらず、認定審査機関であるQSA、PA-QSAなどのトレーニングや試験、品質管理を行っています。

PCI PTSとは

クレジット会社や加盟店などが対象のPCI DSS、ソフトウェアメーカーが対象のPA-DSSに対し、ハードウェアの開発メーカー・ベンダーを対象にしたのがPCI PTSです。主にクレジットカード決済時にPIN入力を行う端末に対するセキュリティ基準です。

端末メーカー向けのセキュリティ基準PCI PTS

POSやCATの開発・製造を行うメーカーは、従来、それぞれ独自のセキュリティ基準にもとづき、対策を施した端末の製造・販売していました。

しかしセキュリティ技術は非公開が基本であり、メーカー独自の情報収集では対策に限界があります。このため、スキミングやデータ盗難被害に対する、ハードウェアのセキュリティ基準として「PCI PTS」が策定されました。

PCI PTSは、PCI SSCのもつ豊富なカード盗難被害事例にもとづいた定期更新が行われています。またこれに準拠した端末を利用することで、加盟店にとっても利用者にとっても、安全なクレジットカード決済を行えるメリットがあります。

広がるPCI PTSの対象範囲

上述したように、世界中で発生する新たなデータ盗難被害に対応するため、PCI PTSは3年ごとにマイナーバージョンがリリースされています。

このマイナーバージョンに対応した端末が、PCI PTS準拠のハードウェアとして認められるのは9年間とされており、有効期限が設定されているのも特徴でしょう。

また、こうしたバージョンアップに伴って、準拠すべきハードウェアの対象範囲も広がりつつあります。たとえば、ICクレジットカード未対応の端末が多い日本では、磁気クレジット機能が備えられています。

この場合、物理的に破壊しハードウェアからデータ盗難可能か、配線によるスキミングが可能か、などの要件をクリアしなければなりません。

国内のクレジットカードセキュリティ

政府が国内重要インフラ13分野の1つに、クレジットカード取引を指定した理由には、日本のクレジットカードに対するセキュリティ意識が、欧米と比較して低いことが挙げられます。それは、ICクレジットカード対応の端末がまだまだ少ないことにも表れており、政府では2020年までに対応端末の普及100％を急いでいました。

現在は遅まきながら、実行計画でEC事業者のPCI DSS対応も進み、この流れは実店舗でのセキュリティ整備へと移っているのが現状です。こうした状況が、PCI DSSやPA-DSS、PCI PTSの重要度を高めており、セキュリティ面でPCI SSCが担う役割も増しているといえるでしょう。

BOXILとは

BOXIL（ボクシル）は企業のDXを支援する法人向けプラットフォームです。SaaS比較サイト「BOXIL SaaS」、ビジネスメディア「BOXIL Magazine」、YouTubeチャンネル「BOXIL CHANNEL」を通じて、ビジネスに役立つ情報を発信しています。

BOXIL会員（無料）になると次の特典が受け取れます。

• BOXIL Magazineの会員限定記事が読み放題！
• 「SaaS業界レポート」や「選び方ガイド」がダウンロードできる！
• 約800種類のビジネステンプレートが自由に使える！

BOXIL SaaSでは、SaaSやクラウドサービスの口コミを募集しています。あなたの体験が、サービス品質向上や、これから導入検討する企業の参考情報として役立ちます。

BOXIL SaaSへ掲載しませんか？

• リード獲得に強い法人向けSaaS比較・検索サイトNo.1^※
• リードの従量課金で、安定的に新規顧客との接点を提供
• 累計1,200社以上の掲載実績があり、初めての比較サイト掲載でも安心

^{※ 日本マーケティングリサーチ機構調べ、調査概要:2021年5月期 ブランドのWEB比較印象調査}