ID管理システムの関連情報

コピー完了

記事TOP

PCI SSCとは?設立背景・仕組み - 国際カードブランドによるデータセキュリティ管理

最終更新日:(記事の情報は現在から2116日前のものです)
PCI SSCとは、国際カードブランドによって設立された、PCI DSSをはじめとするクレジットカードのセキュリティ基準の管理・運用を担う独立機関です。事実上の世界統一基準はどのように運営されているのか、認定の仕組みを含め、その実態を解説します。

PCI SSCとは

PCI SSC(Payment Card Industry Security Standards Council)とは、安全なクレジットカードの取り扱いを目的に、VISA、MasterCard、American Express、Discover、JCBの、国際カードブランド5社によって設立された独立組織です。

PCI SSCは、クレジットカード業界におけるセキュリティ基準の策定・管理・運用を行っており、事実上の世界統一基準となっています。

本記事では、PCI SSCが管理するセキュリティ基準とはどのようなものか、その運営はどのように行われるのか、日本でも注目を集めている背景を含めて解説します。

PCI SSC設立の背景

2004年にPCI SSCが設立される以前、国際カードブランド各社はそれぞれ独自のセキュリティ基準を定め、クレジット会社・加盟店に準拠を求めていました。

しかし、複数のカードブランドを扱う店舗が当たり前になり、クレジット会社・加盟店が、それぞれ異なるセキュリティ基準すべてをクリアするのが困難になってきたのです。

こうした問題を解決するため、統一されたセキュリティ基準であるPCI DSS(Payment Card Industry Data Security Standard)策定を目的にPCI SSCが設立されたのです。

高まるクレジットカードのセキュリティ対策

PCI DSSが策定された目的は、クレジット会社・加盟店の利便性ばかりではありません。

インターネットの普及とクレジットカードの利用増により、安全性の低いネットワークや決済システムからカード情報の窃盗が続発していたのです。

クレジットカード業界では、会員・決済データの漏えいリスクを低減すべく、強力で統一されたセキュリティ基準を必要としており、むしろ、PCI DSS策定の主な目的はこちらにあるといえるでしょう。

クレジットカード取引が国内重要インフラに指定

2020年の東京オリンピックが開催されたことによって、数年にわたり訪日外国人が激増していた日本でも、政府が国内重要インフラ13分野のひとつにクレジットカード取引を指定。世界的に高まるクレジットカードのセキュリティ対策に向け、その基準としてPCI DSSの採用を決定しました。

これを受け、一般社団法人日本クレジット協会が実行計画を策定。

2018年3月末までのPCI DSS準拠を、クレジット会社・決済代行会社・EC事業者に求めることになったのです。

PCI SSCのセキュリティ管理範囲と拘束力

PCI SSCは、クレジットカードのセキュリティ基準の策定・運用・管理に特化した組織であり、その管理範囲は「PCI基準」といわれます。

そのPCI基準にはどのようなものがあるのか、それらの法的な拘束力はどのようになっているのか解説していきましょう。

PCI DSS

PCI DSSは、クレジット会社・加盟店など、クレジットカード会員データや決済データを取り扱う事業者のシステム全体を対象とするセキュリティ基準です。

クレジットカードのセキュリティ基準すべての元となるフレームワークであり、6つの統制目標と、それに対応する12の要件が定められています。

対象となる事業者は、年間のカード取扱量に応じたレベルでPCI DSSに準拠する必要があり、12の要件すべてを満たさなければなりません

PA-DSS

PA-DSSは、Payment Application-Data Security Standardの略称であり、PCI DSSから派生した、決済アプリケーションに関するセキュリティ基準です。

PA-DSSに準拠した決済アプリケーションの採用は、加盟店などの情報漏えいリスクを軽減し、結果的にPCI DSSへの準拠を容易にします。

PCI PTS

PCI PTS(Payment Card Industry Pin Transaction Security)とは、PCI DSSから派生した、POSやCATなどのクレジットカードPIN入力を行う端末、ハードウェアに関するセキュリティ基準です。

PIN転送時の暗号化、破壊に対する強度など、スキミング対策を含めた厳しい要件を満たす必要があります。

PCI DSSへの準拠

すでに解説したようにPCI DSSは、クレジットカードのセキュリティ基準として、事実上の世界統一基準となっています。

しかし、そこから派生したPA-DSS、PCI PTSを含め、PCI DSSには法的な拘束力がありません。

それにもかかわらず、クレジット会社や決済代行会社、加盟店がPCI DSS準拠への対応を急ぐのはなぜでしょうか?

それは、クレジットカードの情報漏えいによる被害が起きた際、国際カードブランドからクレジット会社へ課せられる罰則があるからです。

被害によって発生したカード再発行手数料や莫大な違約金は、国際カードブランドがクレジット会社へ請求し、クレジット会社はその請求を、PCI DSSに準拠していないという理由で加盟店に求めるのです。

もうひとつの理由は、一般社団法人日本クレジット協会の実行計画により、クレジット会社・決済代行会社・加盟店のPCI DSS準拠が必要になったからです。

しかし、莫大なコストと労力のかかるPCI DSS準拠は、加盟店にとっては大きな負担であり、その多くは、PCI DSS準拠を避けるカード情報の非保持化を目指す流れになっています。

PA-DSSとは

クレジット会社・決済代行会社・加盟店などを対象とするPCI DSSとは異なり、決済アプリケーションを開発するソフトウェアメーカーなどを対象に、セキュリティ要件を定めたのがPA-DSSです。

決済アプリケーションとは

決済アプリケーションとは、クレジットカード情報を読み込んでクレジット会社の承認を行うPOS端末搭載アプリケーション、インターネット決済を行うソフトウェアなどを指します。

こうしたアプリケーション・ソフトウェアが、準拠しなければならないセキュリティ要件を定めたのがPA-DSSであり、開発を行うメーカーやベンダーが対象となります。

この場合の決済アプリケーションは「第三者に販売、配布、ライセンス供与」されるもの、と定義されており、特定の加盟店向けなどに開発・販売されるアプリケーションは含まれません。

これは、加盟店がPCI DSS準拠に向けた自社システム改修を行う際「加盟店専用に開発された決済アプリケーション」が含まれるためであり、要件に沿った改修を加盟店主導で行う必要があるからです。

これに対し、第三者に向けた「汎用の決済アプリケーション」は、PCI DSSに準拠するための改修を加盟店側が行えません。

このため、加盟店がカスタマイズなどを行うことなくPCI DSSに準拠できるよう、メーカー・ベンダーがPA-DSSに準拠した決済アプリケーションを開発する必要があるのです。

PCI SSCとQSAの関係

PA-DSS準拠に向けて開発されたアプリケーションは、審査機関からの認定を取得しなければなりません。この業務を行うのが、PCI SSCの認定審査機関であるPA-QSA(Payment Application Qualified Security Assessor)です。

主にPCI DSSの審査を行うQSA(Qualified Security Assessor)との違いは、PA-DSSに特化した審査ができるかどうかであり、QSAの経験が必須とされるPA-QSAは、QSAの業務を兼ねた審査が可能です。

セキュリティ基準の管理・運用に特化した組織であるPCI SSCは、こうした認定業務には直接かかわらず、認定審査機関であるQSA、PA-QSAなどのトレーニングや試験、品質管理を行っているのです。

PCI PTSとは

クレジット会社・決済代行会社・加盟店などを対象としたPCI DSS、決済アプリケーションを開発するソフトウェアメーカーなどを対象としたPA-DSSに対し、クレジットカード決済時にPIN入力を行う端末を開発するメーカー・ベンダーを対象にしたセキュリティ基準がPCI PTSです。

端末メーカー向けのセキュリティ基準PCI PTS

POSやCATの開発・製造を行うメーカーは、従来、それぞれ独自のセキュリティ基準にもとづき、対策を施した端末を製造・販売していました。

しかし、そのセキュリティ機能は非公開が基本となり、メーカー独自の情報収集では対策に限界があるのも事実でした。

このため、スキミングやデータ盗難被害に対する、ハードウェアのセキュリティ基準として「PCI PTS」が策定されたのです。

PCI PTSは、PCI SSCの持つ豊富なカード盗難被害事例にもとづいた定期更新が行われています。これに準拠した端末を利用することで、加盟店にとっても利用者にとっても安全なクレジットカード決済が行えるメリットがあるのです。

広がるPCI PTSの対象範囲

上述したように、世界中で発生する新たなデータ盗難被害に対応するため、PCI PTSは3年ごとにマイナーバージョンがリリースされています。

このマイナーバージョンに対応した端末が、PCI PTS準拠のハードウェアとして認められるのは9年間とされており、有効期限が設定されているのも特徴でしょう。

また、こうしたバージョンアップに伴って、準拠すべきハードウェアの対象範囲も広がりつつあります。
たとえば、ICクレジットカード未対応の端末が多い日本などでは、磁気クレジット機能が備えられています。
この場合、物理的に破壊しハードウェアからデータ盗難可能か、配線によるスキミングが可能か、などの要件をクリアしなければなりません。

国内のクレジットカードセキュリティ

政府が国内重要インフラ13分野のひとつに、クレジットカード取引を指定した理由には、日本のクレジットカードに対するセキュリティ意識が、欧米に比較して低いことが挙げられます。

それは、ICクレジットカード対応の端末がまだまだ少ないことにも表れており、政府では2020年までに対応端末の普及100%を急いでいました。

遅まきながら、実行計画によるEC事業者のPCI DSS対応も進みつつあり、この流れは実店舗でのセキュリティ整備へと移っているのが現状です。

こうした状況が、PCI DSS、PA-DSS、PCI PTSの重要度を高めており、セキュリティ面でPCI SSCが担う役割も増しているといえるでしょう。

BOXILとは

BOXIL(ボクシル)は企業のDXを支援する法人向けプラットフォームです。SaaS比較サイト「BOXIL SaaS」、ビジネスメディア「BOXIL Magazine」、YouTubeチャンネル「BOXIL CHANNEL」、Q&Aサイト「BOXIL SaaS質問箱」を通じて、ビジネスに役立つ情報を発信しています。

BOXIL会員(無料)になると次の特典が受け取れます。

  • BOXIL Magazineの会員限定記事が読み放題!
  • 「SaaS業界レポート」や「選び方ガイド」がダウンロードできる!
  • 約800種類のビジネステンプレートが自由に使える!

BOXIL SaaSでは、SaaSやクラウドサービスの口コミを募集しています。あなたの体験が、サービス品質向上や、これから導入検討する企業の参考情報として役立ちます。

BOXIL SaaS質問箱は、SaaS選定や業務課題に関する質問に、SaaSベンダーやITコンサルタントなどの専門家が回答するQ&Aサイトです。質問はすべて匿名、完全無料で利用いただけます。

BOXIL SaaSへ掲載しませんか?

  • リード獲得に強い法人向けSaaS比較・検索サイトNo.1
  • リードの従量課金で、安定的に新規顧客との接点を提供
  • 累計800社以上の掲載実績があり、初めての比較サイト掲載でも安心

※ 日本マーケティングリサーチ機構調べ、調査概要:2021年5月期 ブランドのWEB比較印象調査

ID管理システム選び方ガイド_20231004.pptx.pdf
ID管理システム
選び方ガイド
この記事が良かったら、いいね!をしてください!最新情報をお届けします!
御社のサービスを
ボクシルに掲載しませんか?
累計掲載実績700社超
BOXIL会員数130,000人超
編集部のおすすめ記事
ID管理システムの最近更新された記事