PCI DSSとは 1

遂に2年後となった2020年、東京でオリンピックが開催されます。世界中からスポーツの祭典を観に人が集まり、日本の経済に大きく影響を与えることが予想されます。政府や都市も2020年に向けた外国人観光客誘致に取り組んでおり、2020年には4000万人の訪日外国人数を目標に活動しています。

しかし、そういった中で、やはり課題となることがいくつか挙げられます。日本旅行を計画している外国人への情報の届け方や、移動手段などでの「おもてなし」、支援ツールの導入など様々な課題がある中で、実際にお金を支払う場面でのクレジットカード利用に関しても、安心・安全な利用が求められていることは言うまでもないでしょう。経済産業省は、東京オリンピックまでに「安全なクレジットカード利用」を目標としたガイドラインを示しています。これにより、「PCI DSS」というセキュリティ基準が注目を集めています。

 

PCI DSSとは

PCI DSS(Payment Card Industry Data Security Standard)とは、クレジットカード会員の情報を保護することを目的に定められたクレジットカード業界の情報セキュリティ基準のことです。2004年に国際カードブランドであるAmerican Express、Discover、JCB、MasterCard、VISAの5社によって策定され、現在はその5社が共同設立したPCI SSC(PCI Security Standards Council)によって運営・管理されています。

PCI DSSが定められた背景には、クレジットカード会員データの流出や悪用といった事故の多発が挙げられます。PCI DSSの策定以前はカードブランドなどが独自にセキュリティ基準を定めていたため、統一された明確なルールが存在していませんでした。また、インターネットの普及によりECサイトなど新たな決済手段が登場し、その一方でサイバー攻撃の巧妙化・多様化によって流出した際の被害は大規模になっていったのです。実際に、2005年には米国大手プロセッサーから4000万件の情報盗難が起こっています。

そこで、上述の5社がセキュリティリスクの効果的な低減とセキュリティ管理の効率的な運用を目的とし、情報保護のために統一された基準を定めました。これがPCI DSSです。

2012年、日本クレジット協会がPCI DSS準拠のナショナルプランを公表し、その必要性が徐々に認知され始めました。また、2014年に経済産業省が発表した「クレジットカード決済の健全な発展に向けた研究会」の中間報告書において、「2020年の東京オリンピックに向けて『世界で最もクレジットカード利用が安心・安全な国 日本』というキーワードのもと、PCI DSSへの準拠は効果的な取り組みである」と報告されました。

PCI DSSはクレジットカード会員情報を格納、処理、伝送する全てのメンバー機関、加盟店、サービスプロバイダに対して適用されます。そのうち、カードの取扱件数が多い事業者はPCI DSSが認定する審査会社の訪問審査による準拠性確認が必要とされています。これは年1回の定期審査が必要となります。一方、中規模事業者やインターネットを利用している事業者にとっては、ネットワークスキャン(外部ネットワークシステムの脆弱性スキャン)が必要になります。外部に接しているサーバー機器やネットワーク機器、アプリケーションに対し、PCI DSS認定のスキャニングベンダーが要件をチェックします。年4回の定期審査が必要になります。また、自己問診というものもあります。これは、PCI DSS要求事項に対しアンケート形式によるチェック項目に対して全て「Yes」であれば準拠していると認められ、カード情報取扱件数の比較的少ない、一般加盟店などの事業者向けの方法です。上記3つのうち、いずれか1つの適用というわけではなく、カード情報の取扱規模や事業形態によって複数を実施する必要があります。

PCI DSSに準拠しない場合のペナルティについて、日本カード情報セキュリティ協議会はこのように声明を出しています。

達成できない場合の罰則というものは定められていませんが、クレジットカードを実際に使用する消費者からの評価や要請という社会的な力が、事業者に影響を及ぼすことは考えられます。また、加盟店契約を結んでいるカード会社(アクワイアラー)が、PCI DSS準拠達成の有無によって、契約内容を見直す動きが出るかも知れません。特にPSP(決済代行プロバイダー)について実行計画は、「カード会社は2018年4月を目処に、PCI DSSに準拠完了していないPSPとの取引の見直しについて検討を進める」と明記しており、規制の動きが出てくることも予想されます。(2016.8.5)

参考:日本カード情報セキュリティ協議会

次回はPCI DSSで求められる要件について具体的に見ていきます。