コピー完了

記事TOP

PCI SSCとは | 設立背景・仕組み - 国際カードブランドによるデータセキュリティ管理

公開日:
PCI SSCとは、国際カードブランドによって設立された、PCI DSSをはじめとするクレジットカードのセキュリティ基準の管理・運用を担う独立機関です。事実上の世界統一基準はどのように運営されているのか、認定の仕組みを含め、その実態を解説します。

PCI SSCとは

PCI SSC(Payment Card Industry Security Standards Council)とは、安全なクレジットカードの取り扱いを目的に、VISA、MasterCard、American Express、Discover、JCBの、国際カードブランド5社によって設立された独立組織です。

PCI SSCは、クレジットカード業界におけるセキュリティ基準の策定・管理・運用を行っており、事実上の世界統一基準となっています。

本記事では、PCI SSCが管理するセキュリティ基準とはどのようなものか、その運営はどのように行われるのか、日本でも注目を集めている背景を含めて解説します。

PCI SSC設立の背景

2004年にPCI SSCが設立される以前、国際カードブランド各社はそれぞれ独自のセキュリティ基準を定め、クレジット会社・加盟店に準拠を求めていました。

しかし、複数のカードブランドを扱う店舗が当たり前になり、クレジット会社・加盟店が、それぞれ異なるセキュリティ基準すべてをクリアするのが困難になってきたのです。

こうした問題を解決するため、統一されたセキュリティ基準であるPCI DSS(Payment Card Industry Data Security Standard)策定を目的にPCI SSCが設立されたのです。

高まるクレジットカードのセキュリティ対策

PCI DSSが策定された目的は、クレジット会社・加盟店の利便性ばかりではありません。

インターネットの普及とクレジットカードの利用増により、安全性の低いネットワークや決済システムからカード情報の窃盗が続発していたのです。

クレジットカード業界では、会員・決済データの漏えいリスクを低減すべく、強力で統一されたセキュリティ基準を必要としており、むしろ、PCI DSS策定の主な目的はこちらにあるといえるでしょう。

クレジットカード取引が国内重要インフラに指定

2020年の東京オリンピックを控え、訪日外国人が激増する日本でも、政府が国内重要インフラ13分野のひとつに、クレジットカード取引を指定。世界的に高まるクレジットカードのセキュリティ対策に向け、その基準としてPCI DSSの採用を決定しました。

これを受け、一般社団法人日本クレジット協会が実行計画を策定。

2018年3月末までのPCI DSS準拠を、クレジット会社・決済代行会社・EC事業者に求めることになったのです。

PCI SSCのセキュリティ管理範囲と拘束力

PCI SSCは、クレジットカードのセキュリティ基準の策定・運用・管理に特化した組織であり、その管理範囲は「PCI基準」といわれます。

そのPCI基準にはどのようなものがあるのか、それらの法的な拘束力はどのようになっているのか解説していきましょう。

PCI DSS

PCI DSSは、クレジット会社・加盟店など、クレジットカード会員データや決済データを取り扱う事業者のシステム全体を対象とするセキュリティ基準です。

クレジットカードのセキュリティ基準すべての元となるフレームワークであり、6つの統制目標と、それに対応する12の要件が定められています。

対象となる事業者は、年間のカード取扱量に応じたレベルでPCI DSSに準拠する必要があり、12の要件すべてを満たさなければなりません

PA-DSS

PA-DSSは、Payment Application-Data Security Standardの略称であり、PCI DSSから派生した、決済アプリケーションに関するセキュリティ基準です。

PA-DSSに準拠した決済アプリケーションの採用は、加盟店などの情報漏えいリスクを軽減し、結果的にPCI DSSへの準拠を容易にします。

PCI PTS

PCI PTS(Payment Card Industry Pin Transaction Security)とは、PCI DSSから派生した、POSやCATなどのクレジットカードPIN入力を行う端末、ハードウェアに関するセキュリティ基準です。

PIN転送時の暗号化、破壊に対する強度など、スキミング対策を含めた厳しい要件を満たす必要があります。

PCI DSSへの準拠

すでに解説したようにPCI DSSは、クレジットカードのセキュリティ基準として、事実上の世界統一基準となっています。

しかし、そこから派生したPA-DSS、PCI PTSを含め、PCI DSSには法的な拘束力がありません。

それにもかかわらず、クレジット会社や決済代行会社、加盟店がPCI DSS準拠への対応を急ぐのはなぜでしょうか?

それは、クレジットカードの情報漏えいによる被害が起きた際、国際カードブランドからクレジット会社へ課せられる罰則があるからです。

被害によって発生したカード再発行手数料や莫大な違約金は、国際カードブランドがクレジット会社へ請求し、クレジット会社はその請求を、PCI DSSに準拠していないという理由で加盟店に求めるのです。

もうひとつの理由は、一般社団法人日本クレジット協会の実行計画により、クレジット会社・決済代行会社・加盟店のPCI DSS準拠が必要になったからです。

しかし、莫大なコストと労力のかかるPCI DSS準拠は、加盟店にとっては大きな負担であり、その多くは、PCI DSS準拠を避けるカード情報の非保持化を目指す流れになっています。

PA-DSSとは

クレジット会社・決済代行会社・加盟店などを対象とするPCI DSSとは異なり、決済アプリケーションを開発するソフトウェアメーカーなどを対象に、セキュリティ要件を定めたのがPA-DSSです。

決済アプリケーションとは

決済アプリケーションとは、クレジットカード情報を読み込んでクレジット会社の承認を行うPOS端末搭載アプリケーション、インターネット決済を行うソフトウェアなどを指します。

こうしたアプリケーション・ソフトウェアが、準拠しなければならないセキュリティ要件を定めたのがPA-DSSであり、開発を行うメーカーやベンダーが対象となります。

この場合の決済アプリケーションは「第三者に販売、配布、ライセンス供与」されるもの、と定義されており、特定の加盟店向けなどに開発・販売されるアプリケーションは含まれません。

これは、加盟店がPCI DSS準拠に向けた自社システム改修を行う際「加盟店専用に開発された決済アプリケーション」が含まれるためであり、要件に沿った改修を加盟店主導で行う必要があるからです。

これに対し、第三者に向けた「汎用の決済アプリケーション」は、PCI DSSに準拠するための改修を加盟店側が行えません。

このため、加盟店がカスタマイズなどを行うことなくPCI DSSに準拠できるよう、メーカー・ベンダーがPA-DSSに準拠した決済アプリケーションを開発する必要があるのです。

PCI SSCとQSAの関係

PA-DSS準拠に向けて開発されたアプリケーションは、審査機関からの認定を取得しなければなりません。この業務を行うのが、PCI SSCの認定審査機関であるPA-QSA(Payment Application Qualified Security Assessor)です。

主にPCI DSSの審査を行うQSA(Qualified Security Assessor)との違いは、PA-DSSに特化した審査ができるかどうかであり、QSAの経験が必須とされるPA-QSAは、QSAの業務を兼ねた審査が可能です。

セキュリティ基準の管理・運用に特化した組織であるPCI SSCは、こうした認定業務には直接かかわらず、認定審査機関であるQSA、PA-QSAなどのトレーニングや試験、品質管理を行っているのです。

PCI PTSとは

クレジット会社・決済代行会社・加盟店などを対象としたPCI DSS、決済アプリケーションを開発するソフトウェアメーカーなどを対象としたPA-DSSに対し、クレジットカード決済時にPIN入力を行う端末を開発するメーカー・ベンダーを対象にしたセキュリティ基準がPCI PTSです。

端末メーカー向けのセキュリティ基準PCI PTS

POSやCATの開発・製造を行うメーカーは、従来、それぞれ独自のセキュリティ基準にもとづき、対策を施した端末を製造・販売していました。

しかし、そのセキュリティ機能は非公開が基本となり、メーカー独自の情報収集では対策に限界があるのも事実でした。

このため、スキミングやデータ盗難被害に対する、ハードウェアのセキュリティ基準として「PCI PTS」が策定されたのです。

PCI PTSは、PCI SSCの持つ豊富なカード盗難被害事例にもとづいた定期更新が行われています。これに準拠した端末を利用することで、加盟店にとっても利用者にとっても安全なクレジットカード決済が行えるメリットがあるのです。

広がるPCI PTSの対象範囲

上述したように、世界中で発生する新たなデータ盗難被害に対応するため、PCI PTSは3年ごとにマイナーバージョンがリリースされています。

このマイナーバージョンに対応した端末が、PCI PTS準拠のハードウェアとして認められるのは9年間とされており、有効期限が設定されているのも特徴でしょう。

また、こうしたバージョンアップに伴って、準拠すべきハードウェアの対象範囲も広がりつつあります。
たとえば、ICクレジットカード未対応の端末が多い日本などでは、磁気クレジット機能が備えられています。
この場合、物理的に破壊しハードウェアからデータ盗難可能か、配線によるスキミングが可能か、などの要件をクリアしなければなりません。

国内のクレジットカードセキュリティ

政府が国内重要インフラ13分野のひとつに、クレジットカード取引を指定した理由には、日本のクレジットカードに対するセキュリティ意識が、欧米に比較して低いことが挙げられます。

それは、ICクレジットカード対応の端末がまだまだ少ないことにも表れており、政府では2020年までに対応端末の普及100%を急いでいます。

遅まきながら、実行計画によるEC事業者のPCI DSS対応も進みつつあり、この流れは実店舗でのセキュリティ整備へと移っているのが現状です。

こうした状況が、PCI DSS、PA-DSS、PCI PTSの重要度を高めており、セキュリティ面でPCI SSCが担う役割も増しているといえるでしょう。

ボクシルとは

ボクシルとは、「コスト削減」「売上向上」につながる法人向けクラウドサービスを中心に、さまざまなサービスを掲載する日本最大級の法人向けサービス口コミ・比較サイトです。

「何かサービスを導入したいけど、どんなサービスがあるのかわからない。」
「同じようなサービスがあり、どのサービスが優れているのかわからない。」

そんな悩みを解消するのがボクシルです。

マーケティングに問題を抱えている法人企業は、ボクシルを活用することで効率的に見込み顧客を獲得できます!また、リード獲得支援だけでなくタイアップ記事広告の作成などさまざまなニーズにお答えします。

ボクシルボクシルマガジンの2軸を利用することで、掲載企業はリードジェネレーションやリードナーチャリングにおける手間を一挙に解消し、低コスト高効率最小限のリスクでリード獲得ができるようになります。ぜひご登録ください。

また、ボクシルでは掲載しているクラウドサービスの口コミを募集しています。使ったことのあるサービスの口コミを投稿することで、ITサービスの品質向上、利用者の導入判断基準の明確化につながります。ぜひ口コミを投稿してみてください。

この記事が良かったら、いいね!をしてください!最新情報をお届けします!
御社のサービスを
ボクシルに掲載しませんか?
掲載社数3,000
月間発生リード数30,000件以上
編集部のおすすめ記事
ID管理システムの最近更新された記事