PCI DSSとは?(Payment Card Industry Data Security Standard)

国際ペイメントブランド5社(VISA、MasterCard、JCB、American Express、Discover)が共同で策定した、クレジット業界におけるグローバルセキュリティ基準です。
クレジットカード会員データを安全に取り扱う事を目的として策定されています。

PCI DSSに準拠するには?

12の要件、約400項目のセキュリティ基準をクリアしなければなりません。

1 安全なネットワークの
構築・維持
カード会員データを保護するために、ファイアウォールをインストールして構成を維持する
2 システムパスワードおよび他のセキュリティパラメータにベンダ提供のデフォルト値を使用しない
3 カード会員データの保護 保存されるカード会員データの保護
4 オープンな公共ネットワーク経由でカード会員データを伝送する場合、暗号化する
5 脆弱性管理プログラムの整備 アンチウィルスソフトウェアまたはプログラムを使用し、定期的に更新する
6 安全性の高いシステムとアプリケーションを開発し、保守する
7 強固なアクセス制御手法の
導入
カード会員データへのアクセスを、業務上必要な範囲内に制限する
8 コンピュータにアクセスできる各ユーザに一意のID を割り当てる
9 カード会員データへの物理アクセスを制限する
10 ネットワークの定期的な監視およびテスト ネットワークリソースおよびカード会員データへのすべてのアクセスを追跡および監視する
11 セキュリティシステムおよびプロセスを定期的にテストする
12 情報セキュリティポリシーの
整備
すべての担当者の情報セキュリティポリシーを整備する

PCI DSSに準拠する場合、取り扱われているカード決済件数によって、認定審査機関による訪問審査が必要な場合と、 自己問診によってPCI DSS準拠とする場合があります。

→詳細に関しては、下記日本カード情報セキュリティ協議会HPをご覧ください。

  jcdsc234.png(7271 byte)


クレジットカード業界を取り巻く動向

相次ぐ不正利用と情報漏洩に伴い、年々被害額が増加しています。
2020年のオリパラ東京開催を前に安全にクレジットカードが利用できる国の実現に向け、 2017年3月8日に経済産業省より“クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画”が発表されました。

2017年3月に発表された実行計画(※)の中で、カード情報を保持・処理・通過をしている場合、PCI DSSに準拠するなどの対策を実施する必要があるとしています。

※「クレジット取引セキュリティ対策協議会」が発表した実行計画 (http://www.j-credit.or.jp/security/pdf/plan_2017.pdf)

クレジットカード情報の管理についても、管理する企業のセキュリティはもちろん、その業務を請負っている外部委託先に対しても管理を求めています。
同セキュリティ基準に準拠する為にはコストが大幅にかかり、運用維持も大変な為、基本的にはカード情報を持たないよう呼びかけています。

クレジットカード情報の非保持とは?

2017年3月に発表された実行計画では、自社で保有する機器・ネットワークにおいて「カード情報」を『保持』、『処理』、『通過』していない環境を非保持と定義しています。

hihoji.jpg(56876 byte)

カード情報を電磁的に送受信せず、紙のレポートやクレジット取引にかかる紙伝票のみ保存を行っているケース