クレジットカードの利用環境整備に向けて割賦販売法が改正されました。これにより、クレジットカード情報を取り扱うEC事業者さまは「クレジットカード情報の非保持化」(以下「非保持化」)対応、またはPCI DSS(Payment Card Industry Data Security Standard)への準拠が必要です。
当コラム記事では、PCI DSS準拠を視野に入れている事業者さま向けに、PCI DSSの概要やPCI DSS認定取得に向けたポイントなどを解説いたします。
目次
PCI DSSの概要
PCI DSSとは、クレジットカード情報の安全な取り扱いを目的に策定されたクレジットカード業界における国際セキュリティ基準です。国際クレジットカードブランドであるVISA、MasterCard、JCB、American Express、Discover(以下「国際カードブランド5社」といいます)によって策定されました。また、国際カードブランド5社によって組織されたPCI SSC(Payment Card Industry Security Standards Council)によって運用・管理が行われています。
PCI DSS策定の経緯
PCI
DSSが策定される以前は、国際カードブランドごとに独自のリスク管理プログラムがありました。そのため、事業者さまは各ブランドが求めるセキュリティ要件に対応する必要があり、大きな負担がかかる状況でした。
一方、インターネットの普及により、ECサイトにおけるクレジットカード決済の取引件数が増加し、クレジットカード情報の漏えいや不正使用の被害は世界規模で発生するようになりました。クレジットカードのIC化による偽造防止や、暗証番号による本人確認だけでは十分なセキュリティが確保できなくなっていたのです。
こうした背景を踏まえ、国際カードブランド5社は事業者さまのコストとセキュリティリスクに対応した仕組み作りに乗り出し、2004年にPCI
DSSが策定されました。その後も改訂を繰り返し、現在の最新基準は2016年に発表されたV3.2です。
PCI DSS準拠のメリット
PSI DSS準拠および認定取得には、以下のようなメリットがあります。
- 最新のセキュリティ基準に則ってクレジットカード情報を取り扱っていることをアピールでき、EC事業者さまの信用やブランドの向上につながります。
- ハッカーやクラッカーによる不正アクセスから自社のECサイトを守り、ECサイトの改ざんや悪用、情報盗用のリスクを低減できます。
- PCI DSSに準拠したEC事業者さまからクレジットカード情報が漏えいし不正使用された場合は、クレジットカード会社からのペナルティが免責される場合があります。
- 非保持化の実現が難しいEC事業者さまでも、改正割賦販売法の要求事項に対応できます。
PCI DSS準拠が必要な事業者さま

PCI DSS準拠が必要な事業者さまは以下のとおりです。
- ・イシュア
- ・アクワイアラ
- ・決済代行会社
- ・クレジットカード加盟店
また、業種としては以下があげられます。
- ・流通:百貨店、小売店、航空会社、鉄道会社
- ・金融:クレジットカード会社、金融機関
- ・通信、メディア:通信事業者、新聞社
- ・製造:石油産業
非保持化が難しい場合はPCI DSSが必要
自社による非保持化の実現が難しい事業者さまにおいては、PCI
DSS準拠が必要です。
例えば、決済代行会社の環境を利用してクレジットカード決済を行っているEC事業者さまの場合、決済代行会社が提供するサービスを利用することで非保持化が実現できます。
一方、非保持化のためのシステム改修が行えない事業者さまは、PCI
DSS準拠が必要となります。
PCI DSS認定取得のためのポイント
PCI DSSにおけるセキュリティ要件
PCI DSSに準拠するためには、以下の統制目標を満たす必要があります。
統制目標 | 要件 |
---|---|
安全なネットワークとシステムの構築と維持 | 1. カード会員データを保護するために、ファイアウォールをインストールして構成を維持すること。 |
2. システムパスワードおよびその他のセキュリティパラメータにベンダ提供のデフォルト値を使用しないこと。 | |
カード会員データの保護 | 3. 保存されるカード会員データを保護すること。 |
4. オープンな公共ネットワーク経由でカード会員データを伝送する場合、暗号化すること。 | |
脆弱性管理プログラムの維持 | 5. すべてのシステムをマルウェアから保護し、ウイルス対策ソフトウェアまたはプログラムを定期的に更新すること。 |
6. 安全性の高いシステムとアプリケーションを開発し、保守すること。 | |
強力なアクセス制御手法の導入 | 7. カード会員データへのアクセスを、業務上必要な範囲内に制限すること。 |
8. システムコンポーネントへのアクセスを識別・認証すること。 | |
9. カード会員データへの物理アクセスを制限すること。 | |
ネットワークの定期的な監視およびテスト | 10. ネットワークリソースおよびカード会員データへのすべてのアクセスを追跡および監視すること。 |
11. セキュリティシステムおよびプロセスを定期的にテストすること。 | |
情報セキュリティポリシーの維持 | 12. すべての担当者の情報セキュリティに対応するポリシーを維持すること。 |
(出典:Payment Card Industry(PCI)データセキュリティ基準 要件とセキュリティ評価手順 バージョン 3.2)
PCI DSS認定取得に向けた対策までの流れ
PCI DSS認定取得に向けた一般的な流れをご紹介します。
1.事前準備
自社の展開サービス、システムを踏まえて、PCI DSSに準拠する必要のある範囲を選定します。
2.ギャップ分析
PCI DSSの要求事項と現在のセキュリティ状況とのギャップを分析します。分析結果に基づいて、改善に向けた計画を策定します。
3.対策実行
計画に基づき対策を実行します。プロセスやポリシーの文書化、必要に応じたシステムの再設計、実装も行います。
4.テスト実施
システムスキャンやセキュリティチェックテストを実施します。そのテスト結果に応じて、システム改修を行ないます。その他にも、PCI DSS認定審査に向けた準備や調整を行ないます。
PCI DSSの認定取得方法
PCI DSSの認定取得方法は、クレジットカード情報の取り扱い規模などにより3つに分類されます。
訪問審査
PCI国際協議会認定の審査機関であるQSA(Qualified Security Assessor)による訪問審査です。大量のクレジットカード情報を扱う事業者さまに要請されます。
サイトスキャン
PCI国際協議会認定のベンダであるASV(Approved Scanning Vendor)によるスキャンツールを用いた点検です。中規模のクレジットカード情報量を取り扱う事業者さま向けの認定取得方法です。
自己問診
PCI DSSの要求事項に基づいたアンケート形式の認証方法です。取り扱うクレジットカード情報量が比較的少ない事業者さま向けの認定取得方法です。
PCI DSS認定取得のためのさまざまサービスをご用意
PCI DSSの認定取得には多くの時間と労力が必要となるため、認定取得を支援するサービスのご利用をおすすめします。
当社では、PCI
DSS認定取得に向けた多くのサービスを取り扱っております。
- ・PCI DSS認定取得支援、オンサイト評価
- ・PCI DSSオンサイト監査・準拠支援サービス
- ・SAQ策定支援サービス
- ・SAQサービスオプション PCI DSS教育 eラーニング
- ・SAQ AOCサービス
PCI DSS認定取得をご検討なさっているEC事業者さまは、ぜひご相談ください。