クレジットカード情報のセキュリティ確保の国際基準「PCI DSS」とは?取得の対象や方法、要件を紹介
オンラインでの買い物のみならず、街なかでもキャッシュレス決済が普及したことで、クレジットカードを生活のなかで利用することは、日常的な光景になっています。
PCI DSS(Payment Card Industry Data Security Standard)とは、クレジットカード情報のセキュリティを確保するための国際的な基準です。具体的には、クレジットカードの取引を行う企業や事業者が、カード情報を適切に保護するために行うべき取り組みを明文化したものです。
PCI DSSとは何か?目的と背景
近年、電子取引の普及に伴い、クレジットカード情報の漏えいや不正使用が増加しています。カード情報の取扱いにおけるセキュリティリスクが高まるなか、大手カードブランド5社(VISA、MasterCard、American Express、Discover、JCB)が共同で、2004年にこの基準を策定しました。また、現在はこの5社が共同で設立したPCI SSC(Payment Card Industry Security Standards Council)により運用されています。
PCI DSSの主な目的は、クレジットカード情報の漏えいを防ぎ、消費者の信頼を維持することです。この基準を遵守することで、カード情報の取扱いにおけるセキュリティを強化し、不正利用やデータ漏えいのリスクを最小限に抑えることが期待されています。クレジットカードを取り扱う全ての事業者にとって、この基準の理解と適用は不可欠と言えるでしょう。
PCI DSSの具体的な要件には、カード情報の暗号化、アクセス制御、定期的なセキュリティ監査などが含まれており、これらを満たすことで企業や事業者はPCI DSS準拠と認定されます。
対象となる組織や事業者
PCI DSSに準拠し、適切なセキュリティ対策を講じるべき組織や事業者は、具体的な取引の形態や規模に関わらず、以下の3つに分類できると考えられます。
1. カード情報を保持、処理、伝送する事業者
これには、オンラインショップ、実店舗、宿泊施設など、実際にクレジットカード情報を取り扱うすべての企業や組織が含まれます。
2. カード情報の取扱いを外部に委託する事業者
決済ゲートウェイや決済代行サービス、受発注業務を外部に委託している企業など、直接カード情報を取り扱わないものの、関連する業務を第三者に依頼している組織も対象となります。
3. カード情報を取扱うサービスプロバイダ
これは、2における、業務を委託されるサービス提供者のことを指します。例としては、ホスティングプロバイダ、決済ソリューションのベンダー、セキュリティ監査を提供する企業などが該当します。
取得の方法
PCI DSSの準拠を確認し、その認定を取得するためには、以下のいずれかの方法を組み合わせて実施します。カード情報の取扱い規模や事業の形態により、実施事項を検討します。
日本カード情報セキュリティ協議会のサイトにも参考資料集がまとまっており、参照するとよいでしょう。
準拠が確認された後、事業者は所定の報告書をカードブランドや取引先のアクワイア(加盟店を持つ金融機関)に提出します。これにより、PCI DSSへの準拠が公式に認められることになります。
1. 自己問診
カード情報取扱い件数の比較的少ない一般加盟店などでは、手始めに、自らの環境や業務プロセスを評価し、PCI DSSの要件に対してどれだけ準拠しているかを確認するのが良いでしょう。このためのツールとして、JCDSC(日本カード情報セキュリティ協議会)「SAQ(Self-Assessment Questionnaire = 自己問診)」を提供しています。業態や取り扱う情報の種類によって、9種類のアンケートが用意されています。
2. 訪問審査
大規模な事業者や取引量が多い組織は、独立した第三者機関である「QSA(Qualified Security Assessor)」による評価を年1回、定期的に受ける必要があります。QSAは、組織のPCI DSSへの準拠状況を評価し、ROC(Report on Compliance = 報告書)を提出します。
3. サイトスキャン
PCI国際協議会は、ASV(Approved Scanning Vendor)として認定されたベンダーのスキャンツールを推奨しており、中規模の事業者やインターネットに接続している事業者はこのツールを使用して四半期ごとのネットワーク脆弱性の点検を受ける必要があります。このスキャンでは、外部からアクセス可能なサーバ機器、ネットワーク機器、アプリケーション等のセキュリティ脆弱性が対象となります。この点検に合格することで、サイトがPCI DSSのセキュリティ要件を満たしていると認証されます。
これらの評価を通じて明らかになったセキュリティ上のギャップや不足を確認し、新しいセキュリティツールの導入、業務プロセスの見直し、スタッフの教育などの対応策を導入します。
PCI DSSの認定は継続的なものです。毎年、自己評価や必要に応じてQSAによる評価を受けることで、常にセキュリティ基準を維持・更新していく必要があります。
PCI DSSで定められた12のデータセキュリティ要件
前述の通り、PCI DSSの要件は、事業者の取扱う取引の量や頻度によって異なる場合があります。すべての要件を完璧に満たそうとすると、12の要件をクリアする必要があります。それでは、人員やシステム導入・管理のコストが膨大なものになってしまいます。前述の評価プロセスを経て、準拠する範囲やレベルを見極めることが肝要です。
ここでは、情報保護のために定められている6つの目標と12の要件を紹介します。
目標1: 安全なネットワークとシステムの構築と維持
1. ネットワークセキュリティコントロールの導入と維持
2. すべてのシステムコンポーネントにセキュアな設定を適用する
目標2: アカウントデータの保護
3. 保存されたアカウントデータの保護
4. オープンな公共ネットワークでの送信時に、強力な暗号化技術でカード会員データを保護する
目標3: 脆弱性管理プログラムの維持
5. 悪意のあるソフトウェアからすべてのシステムおよびネットワークを保護する
6. 安全なシステムおよびソフトウェアの開発と維持
目標4: 強固なアクセス制御の実施
7. システムコンポーネントおよびカード会員データへのアクセスを、業務上必要な適用範囲(Need toKnow)によって制限する
8. ユーザの識別とシステムコンポーネントへのアクセスの認証
9. カード会員データへの物理アクセスを制限する
目標5: ネットワークの定期的な監視とテスト
10. システムコンポーネントおよびカード会員データへのすべてのアクセスをログに記録し、監視すること
11. システムおよびネットワークのセキュリティを定期的にテストする
目標6: 情報セキュリティポリシーの整備
12. 組織の方針とプログラムによって情報セキュリティをサポートする