PCI DSSとは?(Payment Card Industry Data Security Standard)

国際ペイメントブランド5社(VISA、MasterCard、JCB、American Express、Discover)が共同で策定した、クレジット業界におけるグローバルセキュリティ基準です。
クレジットカード会員データを安全に取り扱う事を目的として策定されています。

PCI DSSに準拠するには?

12の要件、約400項目のセキュリティ基準をクリアしなければなりません。

1 安全なネットワークの
構築・維持
カード会員データを保護するために、ファイアウォールをインストールして構成を維持する
2 システムパスワードおよび他のセキュリティパラメータにベンダ提供のデフォルト値を使用しない
3 カード会員データの保護 保存されるカード会員データの保護
4 オープンな公共ネットワーク経由でカード会員データを伝送する場合、暗号化する
5 脆弱性管理プログラムの整備 アンチウィルスソフトウェアまたはプログラムを使用し、定期的に更新する
6 安全性の高いシステムとアプリケーションを開発し、保守する
7 強固なアクセス制御手法の
導入
カード会員データへのアクセスを、業務上必要な範囲内に制限する
8 コンピュータにアクセスできる各ユーザに一意のID を割り当てる
9 カード会員データへの物理アクセスを制限する
10 ネットワークの定期的な監視およびテスト ネットワークリソースおよびカード会員データへのすべてのアクセスを追跡および監視する
11 セキュリティシステムおよびプロセスを定期的にテストする
12 情報セキュリティポリシーの
整備
すべての担当者の情報セキュリティポリシーを整備する

PCI DSSに準拠する場合、取り扱われているカード決済件数によって、認定審査機関による訪問審査が必要な場合と、 自己問診によってPCI DSS準拠とする場合があります。

→詳細に関しては、下記日本カード情報セキュリティ協議会HPをご覧ください。

  jcdsc234.png(7271 byte)


クレジットカード業界を取り巻く動向

相次ぐ不正利用と情報漏洩に伴い、年々被害額が増加しています。
2020年のオリパラ東京開催を前に安全にクレジットカードが利用できる国の実現に向け、 2018年6月に改正割賦販売法が施工されクレジットカード加盟店について、クレジットカード情報の適切な管理が義務付けられました。

2018年3月1日に経済産業省より発表された実行計画(※)の中で、カード情報を保持・処理・通過をしている場合、PCI DSSに準拠するなどの対策を実施する必要があるとしています。

※「クレジット取引セキュリティ対策協議会」が発表した実行計画 (https://www.j-credit.or.jp/security/pdf/plan_2018.pdf)

クレジットカード情報の管理についても、管理する企業のセキュリティはもちろん、その業務を請負っている外部委託先に対しても管理を求めています。
同セキュリティ基準に準拠する為にはコストが大幅にかかり、運用維持も大変な為、基本的にはカード情報を持たないよう呼びかけています。

クレジットカード情報の非保持とは?

2018年3月に発表された実行計画では、カード情報を保存する場合、それらの情報は紙のレポートやクレジット取引にかかる紙伝 票、紙媒体をスキャンした画像データ等 (※)のみであり、電磁的に送受信しないこと、すなわち「自社で保有する機器・ネットワークにおいて「カード情報を保持・処理・通過しないこと」を非保持と定義しています。

hihoji.jpg(56876 byte)

※非保持の場合、カード情報は下記形態でのみ保存が認められています。
①紙(クレジット取引伝票、カード番号を記したFAX、申込書、メモ等)
②紙媒体をスキャンした画像データ
③電話での通話(通話データを含む)

非保持化の対応は加盟店を対象としているものであり、加盟店ではないBPO等のサービスをマルチに提供している企業は非保持化を選択できません。

jcdsc234.png(7271 byte) 株式会社DTS

1972年の創業以来、独立系の総合情報サービス企業として金融や通信をはじめ、さまざまな業種・業態のお客様に
コンサルティングから設計、開発、運用、基盤構築までの多種多様なITサービスを提供しています。