PCI DSS|取得費用やメリットや方法などを解説
オンラインショッピングの普及により、キャッシュレス決済の需要が高まった一方、クレジットカードの不正利用やなりすましなどの被害が世界的に発生するようになりました。 そこで、国際的な枠組みとして登場したのがPCI DSSです。 2020年3月が、対面加盟店のカード情報の非保持化または、PCI DSS対応(保持する場合)の期限だったことから、近年注目されているキーワードでもあります。 そこで本記事では、改めてPCI DSSの概要や成り立ち、認定取得方法、そしてPCI DSSに深く関連するカード情報の非保持化について解説いたします。
目次
PCI DSSとは
PCI DSSとは、「Payment Card Industry Data Security Standard」の略で、クレジットカードの会員情報を安全に取り扱うことを目的とした基準です。 アメリカンエキスプレス、Discover、JCB、マスターカード、VISAの5社が共同して設立した「PCI SSC」によって運用されています。
もともとは、カードブランドごとに独自の基準を設けていましたが、加盟店がそれぞれの要求に対応する負荷が大きいのに加え、近年、世界的に増加傾向にあるクレジットカードの情報流出、スキミングなどの被害を最小限にとどめるべく2004年に立ち上げられました。
現在は、PCI DSSバージョン4.0の正式版公開に向け、メジャーバージョンアップ作業が進められています。 PCI DSSバージョン4.0では、パスワードの基準の厳格化、多要素認証のほか、暗号化通信の適用範囲の拡大など、新たな項目が追加される予定です。
PCI DSS認定取得のメリット
PCI DSSの取得メリットには大きく以下の2つが挙げられます。
信用力の向上
PCI DSSはクレジットカードにおける世界的セキュリティ基準であるため、準拠することで、企業のブランド価値の向上や信用力を高めることができます。
セキュリティ体制の強化
PCI DSSに準拠することでセキュリティレベルが向上し、クラッカーなどによる不正利用やスキミングなどの被害を未然に防ぐことができます。
ISMS(情報セキュリティマネジメントシステム)との関係性
ISMS(情報セキュリティマネジメントシステム)とは、「Information Security Management System」の略で、企業における情報資産を適切に管理する仕組みのことを指します。 範囲は企業の保有する幅広い情報が対象となります。
それに対してPCI DSSはクレジットカード情報に特化した認定で、ISO/IEC 27001(ISMS)に内包されます。 ただし、ISO/IEC 27001認証(ISMS認証)だけを取得すればよいわけではなく、PCI DSSによる厳格な要求事項を遵守することで、サイバー攻撃などによるクレジットカードの情報漏えいといった被害を受けにくくすることができます。
ASVとQSAについて
ASVは「Approved Scanning Vendors」の略で認定スキャンベンダーのことを言います。 要件11で要求しているペネトレーションテストを実施する役割を担います。 一方、QSAは「Qualified Security Assessors」の略で、認定セキュリティ評価機関のことです。 大規模にカード情報を取り扱う加盟店やサービスプロバイダなどに対し、訪問審査を行います。 ASVとQSA企業リストは、PCI SSCの公式ページで公開されています。
<公式ページ:QSA/ASV企業一覧>
PCI DSSの取得が必要な事業者
クレジットカード情報を保持、処理、伝送する全ての企業が対象になります。 具体的には、クレジットカード会社、発行機関のほか、クレジットカード情報を取り扱う旅行代理店や航空会社、また通販サイトを保有する企業も対象となり、ほとんどの業種において必要とされます。 ただし、中小企業・零細企業では、自己問診(SAQ)にて準拠する方法もありますが、ある程度専門的な知識が必要となります。 また、予算がない、専任者がいないなどの理由から、PCI DSSの準拠が難しく、その場合は、後述する「カード情報の非保持化」にて対応します。
カード情報の非保持化について
カード情報の非保持化とは、外回り方式や決済代行を使って、カード情報を保存・処理・通過させず、PCI DSSの対象に該当しないようにすることを指します。 カード情報の非保持化が登場したのには、東京オリンピックにおけるキャッシュレス決済普及の意図が背景にあります。 経済産業省の統計によれば、キャッシュレス決済の普及率は約20%程度で、他先進国と比べると非常に低い数値となっており、政府にとって喫緊の課題となっています。
<参照:キャッシュレスの現状及び意義|経済産業省>
カード情報の非保持化の議論は、2012年3月の「クレジットカード情報管理強化に向けた実行計画2012」で初出しました。 2016年には割賦販売法が改正され、EC(非対面)加盟店には2018年3月末を期限に、対面加盟店には2020年3月を期限に、「PCI DSSの準拠」または「カード情報の非保持化」のいずれかの対応が求められることになりました。
現在は、非保持化を前提に議論が進められる傾向にあります。 ただし、決済代行業者やプロバイダ業者のカード情報の非保持化は現実的ではなく、PCI DSSの準拠が必要となります。
PCI DSSの目的と要件
PCI DSSで求められる目的と要件は全部で12項目で、さらに詳細な要件として400以上の項目が存在します。
|
安全なネットワークとシステムの構築・維持
|
|
|---|---|
| 要件1 | カード会員データを保護するために、ファイアウォールをインストールして構成を維持する |
| 要件2 | システムパスワードおよびその他のセキュリティパラメータに、ベンダ提供のデフォルト値を使用しない |
|
カード会員データの保護
|
|
| 要件3 | 保存されるカード会員データの保護 |
| 要件4 | オープンな公共ネットワーク経由でカード会員データを伝送する場合、暗号化する |
|
脆弱性管理プログラムの整備
|
|
| 要件5 | すべてのシステムをマルウェアから保護し、ウィルス対策ソフトウェアまたはプログラムを定期的に更新する |
| 要件6 | 安全性の高いシステムとアプリケーションを開発し、保守する |
|
強固なアクセス制御手法の導入
|
|
| 要件7 | カード会員データへのアクセスを、業務上必要な範囲内に制限する |
| 要件8 | システムコンポーネントへのアクセスを確認・許可する |
| 要件9 | カード会員データへの物理アクセスを制限する |
|
ネットワークの定期的な監視およびテスト
|
|
| 要件10 | ネットワークリソースおよびカード会員データへのすべてのアクセスを追跡および監視する |
| 要件11 | セキュリティシステムおよびプロセスを定期的にテストする |
|
情報セキュリティーポリシーの整備
|
|
| 要件12 | すべての担当者の情報セキュリティに対応するポリシーを維持する |
<引用:PCI DSSとは(Payment Card Industry Data Security Standard)|国際マネジメントシステム認証機構より>
PCI DSSに要求される準拠事項
PCI DSSでは、「カード会社」「加盟店/サービスプロバイダ」ごとに、それぞれレベルを設けています。 レベルは、規模や取引件数、処理量で区分されており、レベルごとに求められる検証要件が異なります。
【加盟店】
| レベル 1 | 該当要件 | 検証要件 |
| Visa | 当該ブランドの年間の取引件数が600万件以上、または地域のVisaがレベル1と判断したグローバルな加盟店 |
QSAによる年1回のオンサイト監査 ASVによる四半期ごとのネットワークスキャン 準拠報告のドキュメントフォーム |
| MasterCard |
MastercardとMaestroの年間取引総件数の合計が600万件を超えるすべての加盟店 過去にカード情報の漏えい事件を起こした加盟店 MasterCardがレベル1と判断した加盟店 Visaがレベル1と判断した加盟店 |
QSAによる年1回のオンサイト監査 [社内監査役(または他の指定された独立スタッフ)により年1回のオンサイト監査の実施を選択しているレベル1加盟店は、社内監査役の利用を継続するためには、PCI DSS準拠の検証に従事している主要な社内スタッフが、毎年PCI SSC社内セキュリティ監査員(ISA)適格性プログラムを完了することを確保すること] ASVによる四半期ごとのネットワークスキャン |
| JCB |
当該ブランドの年間の取引件数が100万件以上(推奨・2018年4月1日より必須) International取引を処理する加盟店、または過去にカード情報の漏えい事件を起こした加盟店 |
QSAによる年1回のオンサイト監査 ASVによる四半期ごとのネットワークスキャン |
| American Express | 当該ブランドの年間の取引件数が250万件以上またはAmericanExpressがレベル1と判断した加盟店 |
QSA、または最高経営責任者、最高財務責任者、情報セキュリティ最高責任者、または加盟店が認証している場合は加盟店が実施した年1回のオンサイト監査 ASVによる四半期ごとのネットワークスキャン |
| Discover |
当該ブランドの年間取引件数が600万件以上 他のペイメントブランドがレベル1と判断した加盟店 |
QSAによる年1回のオンサイト監査 ASVによる四半期ごとのネットワークスキャン |
| レベル 2 | 該当要件 | 検証要件 |
| Visa | 当該ブランドの年間の取引件数が100万~600万件 |
年1回の自己問診 ASVによる四半期ごとのネットワークスキャン 準拠報告のドキュメントフォーム |
| MasterCard |
結合されたMasterCardとMaestroの年間取引総件数が100~600万件である加盟店 Visaがレベル2と判断した加盟店 |
加盟店の裁量による年1回のオンサイト監査 年1回の自己問診 ASVによる四半期ごとのネットワークスキャン |
| JCB | 当該ブランドの年間の取引件数が100万件未満 |
年1回の自己問診 ASVによる四半期ごとのネットワークスキャン |
| American Express | 当該ブランドの年間の取引件数が5万~250万件以上またはAmericanExpressがレベル2と判断した加盟店 |
加盟店が実施し、最高経営責任者、最高財務責任者、情報セキュリティ最高責任者、または加盟店の責任者が認証した年1回の自己問診 ASVによる四半期ごとのネットワークスキャン |
| Discover | 当該ブランドの取引が100万件以上、600万件未満の加盟店 |
年1回の自己問診 ASVによる四半期ごとのネットワークスキャン |
| レベル 3 | 該当要件 | 検証要件 |
| Visa | 当該ブランドの年間の電子商取引における取引件数が2万~100万件 |
年1回の自己問診 ASVによる四半期ごとのネットワークスキャン |
| MasterCard |
MasterCardとMaestroのeコマース取引を合わせて2万~100万件取り扱う加盟店 Visaがレベル3と判断した加盟店 |
年1回の自己問診 ASVによる四半期ごとのネットワークスキャン |
| JCB | 該当なし | 該当なし |
| American Express | 当該ブランドの年間の取引件数が5万件未満 |
年1回の自己問診(強く推奨) ASVによる四半期ごとのネットワークスキャン(強く推奨) |
| Discover | 当該ブランドの年間の電子商取引における取引件数が2万~100万 |
年1回の自己問診 ASVによる四半期ごとのネットワークスキャン |
| レベル 4 | 該当要件 | 検証要件 |
| Visa |
当該ブランドの年間の電子商取引における取引件数が2万件未満 当該ブランドの年間の取引件数が100万件未満 |
年1回の自己問診(推奨) ASVによる四半期ごとのネットワークスキャン(推奨) アクワイアラが定める準拠要件 |
| MasterCard | レベル1~3以外のすべての加盟店 |
準拠証明はアクワイアラーの裁量 年1回の自己問診 ASVによる四半期ごとのネットワークスキャン |
| JCB | 該当なし | 該当なし |
| American Express | 該当なし | 該当なし |
| Discover | レベル1~3以外のすべての加盟店 |
年1回の自己問診 ASVによる四半期ごとのネットワークスキャン |
<引用:PCI DSSとは(Payment Card Industry Data Security Standard)|国際マネジメントシステム認証機構より>
【サービスプロバイダ】
| レベル 1 | 該当要件 | 検証要件 |
| Visa | Visa Netに接続するプロセッサ、または取引の伝送/処理/保存の件数が年間30万件以上あるサービスプロバイダ |
QSAによる年1回のオンサイト監査 ASVによる四半期ごとのネットワークスキャン 準拠証明書(AOC) |
| MasterCard |
すべてのTPP 年間30万件超の取引を伝送/処理/保存するDSE※2 過去にカード情報の漏えい事件を起こしたことがあるすべてのTPP及びDSE |
QSAによる年1回のオンサイト監査 ASVによる四半期ごとのネットワークスキャン |
| JCB | すべてのTPP |
QSAによる年1回のオンサイト監査 ASVによる四半期ごとのネットワークスキャン |
| American Express | 当該ブランドの取引件数が年間250万件以上、またはAmericanExpressがレベル1と判断したサービスプロバイダ |
年次のオンサイトセキュリティ評価レポート 四半期毎のネットワークスキャン |
| Discover |
年間30万件超のカード取引を伝送、処理、保存するTPP Discoverが独自に定めたTPP |
QSAによる年1回のオンサイト監査 ASVによる四半期ごとのネットワークスキャン |
| レベル 2 | 該当要件 | 検証要件 |
| Visa | 取引の伝送/処理/保存の件数が年間30万件未満のサービスプロバイダ |
年1回の自己問診 ASVによる四半期ごとのネットワークスキャン Visa Incのサービスプロバイダリストには掲載されない(レベル1として検証すれば掲載) |
| MasterCard | 年間30万件以下の取引を伝送/処理/保存するDSE |
年1回の自己問診 ASVによる四半期ごとのネットワークスキャン すべての非準拠のサービスプロバイダは完成したMasterCardアクションプランを提出する必要あり |
| JCB | すべてのTPP |
年1回の自己問診 ASVによる四半期ごとのネットワークスキャン すべての非準拠のサービスプロバイダは完成したMasterCardアクションプランを提出する必要あり |
| American Express | 当該ブランドの取引件数が年間250万件未満、またはAmericanExpressがレベル1でないとみなすサービスプロバイダ |
QSAによる年1回のオンサイト監査 ASVによる四半期ごとのネットワークスキャン |
| Discover | 年間30万件未満のカード取引を伝送、処理、保存するTPP |
年1回の自己問診 ASVによる四半期ごとのネットワークスキャン |
| レベル 3 | 該当要件 | 検証要件 |
| Visa | 該当なし | 該当なし |
| MasterCard | 該当なし | 該当なし |
| JCB | 該当なし | 該当なし |
| American Express | 該当なし | |
| Discover | 該当なし |
<引用:PCI DSSとは(Payment Card Industry Data Security Standard)|国際マネジメントシステム認証機構より>
PCI DSSの取得方法
PCI DSSの対応方法は、前述した準拠事項に記載されているカード会社や規模、取引量のレベルに応じて変わります。
訪問審査
レベル1にあてはまる加盟店・サービスプロバイダが該当します。 QSAによる年1度の訪問審査(オンサイト監査)が求められます。 訪問審査では、現地でセキュリティ対策状況や運用実態などを担当者にヒアリング、運用における各種記録の確認、そのほかネットワーク機器のセキュリティ要件のチェックやカード決済レベルでのセキュリティ対策チェックなども実施されます。
ネットワークスキャン
ネットワークスキャンは四半期ごとに行われます。 レベル1〜3に該当する企業は基本的に実施義務があり(American Expressは「強く推奨」と表記)、レベル4はカードブランドによって対応が分かれています。 インターネットや内部ネットワークからの脆弱性チェック、無線LAN調査、セグメンテーションの有効性テストなどを実施します。
自己問診(SAQ)
自己問診(SAQ)の日本語版はPCI SSCのサイトから入手可能です。 また、自己問診票は、「対面・非対面」「カード会員データの取り扱い」「外部委託範囲/処理・伝送方法」によって種類がA〜P2PEまで全部で8種類に分かれています。
PCI DSSの認定取得手順
PCI DSSの認定取得手順は、大きく分けると以下の5つになります。
対象範囲の決定
まずは、PCI DSSにおいて要求される準拠事項と、自社の取引規模や処理・転送量などを照らし合わせながら、該当レベルの把握と対象範囲を確認します。
ギャップ分析
次に、準拠事項を確認しながら、現状で実施/未実施のもの、また、実施している場合、十分/不十分について判別していきます。
計画・改善
ギャップ分析の結果に基づいて、未実施や実施はしているが不十分な部分を洗い出し、改善計画を策定します。 改善計画に従い、システムの改修や導入をし、手順書や規則などの文書を整備、作成します。
テスト実施・審査開始
審査前に、一度システムスキャンやセキュリティチェックのテストを実施します。 その後、認定取得のための訪問審査、ネットワークスキャンを行います。
維持・運用
ISO/IEC 27001でも毎年審査があるのと同じように、セキュリティ体制の維持のチェックを行うために、年一回の審査(または自己問診)があります。 PCI DSSの最新のバージョン情報を常に確認し、適用していく必要があります。
PCI DSSの取得支援事業者の選び方
PCI DSSの認定を自社で取得するには、PCI DSSに関する専門知識やノウハウが必要となるほか、審査に至るまでの煩雑な手続きや処理を行う必要があります。
多くの企業においてはそれらのノウハウやリソースを確保するのは難しいため、取得支援事業者に依頼するのが一般的です。
取得支援事業者には、大きく「テンプレート提供型」と「コンサル型」の2つに分けられます。 「テンプレート提供型」は、書類のフォーマットを提供し、やり方をレクチャーする方式で、実作業は自社で行う必要があります。 一方、「コンサル型」はテンプレートの提供だけでなく、仕組みづくり・構築、システム導入まで行います。 一般的には「コンサル型」を選択するケースが多いです。
PCI DSSの取得業者を選ぶ際には、「訪問回数」「レクチャーの手厚さ」「導入実績」をチェックしましょう。
まとめ
ますますキャッシュレス決済の普及が進む中で、カード情報の非保持化、またはPCI DSSへの準拠は必須です。 これから、新たにネット通販事業やクレジットカード情報を取り扱う旅行代理店事業などを開始される事業者さまにおいては、ぜひ本日の内容を念頭に置いて、情報セキュリティの運用・管理を行っていきましょう。
