PCI DSS
PCI DSSとは
PCI DSS(Payment Card Industry Data Security Standard)とは、VISA、MasterCard、JCB、American Express、Discoverという国際カードブランド5社が共同して策定した、クレジット業界におけるカード情報保護に関するセキュリティ国際基準のことです。
PCI DSSが策定された背景
PCI DSSが策定される以前にも、カード会社ごとに独自のセキュリティ基準が存在しましたが、カード会社ごとの基準をそれぞれ満たすという運用は、非常に煩雑になるというデメリットがありました。また、インターネットの普及に比例するようにクレジットカードの利用増加や不正が巧妙化し、従来のセキュリティ基準では新たな不正を防ぐことが困難になりました。
そこで、PCI DSSという共通のセキュリティ基準を策定し、カード加盟店に準拠させることで、国際基準の安全なクレジット決済環境を整備する流れとなりました。
2020年の東京オリンピックに向け、クレジット取引セキュリティ対策協議会により公表された「クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画」においては、カード情報を保持するEC事業者に対しPCI DSSの準拠を求めており、2018年6月施行の改正割賦販売法においては義務化されています。
PCI DSSの目的
PCI DSSは次の6つの目的を達成できるように、12の要件で規定されており、さらに400項目に細分化し規定されています。
「1.安全なネットワークとシステムの構築と維持」
「2.カード会員データの保護」
「3.脆弱性管理プログラムの整備」
「4.強固なアクセス制御手法の導入」
「5.ネットワークの定期的な監視およびテスト」
「6.情報セキュリティポリシーの整備」
カード加盟店によるPCI DSS準拠
カード情報の取扱形態や規模によって2つの準拠方法があります。取扱件数が多い場合には、認定審査機関(QSA)による訪問審査が必要であり、件数が少ない場合には自己問診(SAQ)を行います。必要な準拠項目によっても異なりますが、前者に係る期間は通常少なくとも半年以上といわれています。自社での準拠や準拠後の維持に係る工数等、想定以上の費用に悩まされることもあるため、専門業者へ外部委託するという方法もあります。