誰でもわかる! PCI DSSの要件と対処方法
PCI DSSとは
国際カードブランド5社が策定したグローバルセキュリティ基準
近年、クレジットカード情報の漏洩・流出・不正利用事件がニュースになることが絶えません。
このような事態を避けるためには、クレジットカード加盟店などが十分なセキュリティ対策を講じることが欠かせませんが、カードブランド各社がそれぞれ独自の対策を要求するかたちでは、複数のカードブランドを取り扱う加盟店の負担は多大なものになります。そこで、国際カードブランドであるAmerican Express、Discover、JCB、MasterCard、Visaの5社が2004年に、クレジットカード業界のグローバルセキュリティ基準として共同で策定したのが、PCI DSS(Payment Card Industry Data Security Standard)です。
PCI DSSの準拠対象は、カード加盟店、銀行、決済代行を行うサービス・プロバイダー、アクワイアラー、イシュアなど、クレジットカード情報を「保存、処理、または送信する」企業全般に渡ります。クレジットカード情報を取り扱う以上、PCI DSS準拠は必須条件になっていると言えるでしょう。
なお、PCI DSSは国際カードブランド5社が共同設立したPCI SSC(PCI Security Standards Council)が運営・管理を行っており、最新バージョンとして2018年5月にPCI DSS Ver.3.2.1が発表されました。
PCI DSS準拠の背景
政府が求める“安全・安心”なクレジットカード利用環境の実現
日本では、クレジット取引セキュリティ対策協議会が2016 年に発表した「クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画」において、カード情報を保持する事業者にPCI DSS準拠を求めたことで、PCI DSS 準拠への注目が一気に高まりました。さらに2016年12月に公布され、2018 年6 月に施行された「改正割賦販売法」で、カード会社だけではなく、クレジットカード情報を取り扱う加盟店において、カード番号等の適切な管理や不正使用対策を講じることが義務づけられたこともこの動きを一層加速しています。
日本政府が「日本再興戦略」のテーマの一つとして、2020年オリンピック・パラリンピック東京大会の開催等に向けた、キャッシュレス決済の普及による利便性・効率性の向上、インバウンド需要の確実な取り込みを掲げ、その大前提として“安全・安心”なクレジットカード利用環境の実現を挙げていることも、このような動きの背景となっていると言えるでしょう。
PCI DSSの概要
6つの目的と12の要件
PCI DSSでは、以下の6つの目的とそれに対応する12の要件が定められています。
安全なネットワークとシステムの構築と維持
| 要件1 | カード会員データを保護するために、ファイアウォールをインストールして維持する |
|---|---|
| 要件2 | システムパスワードおよびその他のセキュリティパラメータにベンダー提供のデフォルト値を使用しない |
カード会員データの保護
| 要件3 | 保存されるカード会員データを保護する |
|---|---|
| 要件4 | オープンな公共ネットワーク経由でカード会員データを伝送する場合、暗号化する |
脆弱性管理プログラムの整備
| 要件5 | マルウェアにしてすべてのシステムを保護し、ウィルス対策ソフトウェアを定期的に更新する |
|---|---|
| 要件6 | 安全性の高いシステムとアプリケーションを開発し、保守する |
強力なアクセス制御手法の導入
| 要件7 | カード会員データへのアクセスを、業務上必要な範囲内に制限する |
|---|---|
| 要件8 | システムコンポーネントへのアクセスを識別・認証する |
| 要件9 | カード会員データへの物理アクセスを制限する |
ネットワークの定期的な監視およびテスト
| 要件10 | ネットワークリソースおよびカード会員データへのすべてのアクセスを追跡および監視する |
|---|---|
| 要件11 | セキュリティシステムおよびプロセスを定期的にテストする |
情報セキュリティポリシーの整備
| 要件12 | すべての担当者の情報セキュリティに対応するポリシーを整備する |
|---|
これらの12要件を満たし、PCI DSSに準拠するためには、各要件に紐付けられた合計415項目をクリアする必要があります。その検証方法には、PCI DSSの管理団体であるPCI SSCが認めたオンサイト監査を行う認定セキュリティ評価機関(QSA:Qualified Security Assessor)の審査を受ける方法、もしくはPCI DSSの要求事項に基づいた、アンケート形式によるチェック項目に回答し、すべて「Yes」であれば、準拠していると認められる「自己問診(SAQ= Self-Assessment Questionnaire)」があり、自社のカード情報の取扱い形態や規模によって、必要な検証を実施することとなります。なお、「自己問診」には業態・カード情報の取扱形態ごとに9種類があり、それぞれ22~331の準拠項目が設定されています。
PCI DSS準拠におけるポイント
準拠への第一歩は自社セキュリティ対策レベルの正確な把握
PCI DSSに準拠するために、まず行わなければならないのは自社のセキュリティ対策レベルの正確な分析・把握です。
その際に必要なのは、主観的なセキュリティ対策レベルの現状把握にとどまらず、次のステップであるPCI DSS準拠を意識した分析・把握を行うことです。PCI DSSが求める要件と自社のセキュリティ対策レベルにどのようなギャップがあるのか。それをきちんと見極めることができなければ、効率的なPCI DSS準拠は望めず、無駄なコストや時間を費やすことにもなりかねません。
セキュリティ対策レベルの分析・把握の中でありがちなのが、PCI DSSが求める要件・監査対象の勝手な解釈による矮小化です。
例えば、PCI DSSではカード情報が“通過”するネットワーク機器も監査対象になっていますが、「カード情報を管理しているわけではないから関係ないだろう」と見逃されるケースが少なくありません。また、「要件9 カード会員データへの物理アクセスを制限する」に関連して、機密エリア内の監視カメラによる記録と保存に関する監査項目があるのですが、部屋の入口にカメラを設置しているだけで、項目をクリアしていると誤解しているようなケースもあります。
このような事態を避けるためには、PCI DSS準拠について専門的な知見を持ち、さらに必要なソリューションを提供できる支援企業のサポートを受けることが有効と言えるでしょう。
著者プロフィール(所属・役職は執筆当時のものです)
富士通エフ・アイ・ピー株式会社
SaaSソリューション事業部主席部長
仁木 裕子氏
関連サービス
現状分析から、実装支援、審査支援まで、準拠に必要な12要件すべてに対して、ワンストップでサービスを提供します。また、効率的なPCI DSS準拠に向け、お客様環境に合わせた各種ツールも提供しております。
【実績】
ISMS、プライバシーマーク等、認証取得支援で培ったノウハウを活用し、クレジットカード情報を取り扱う様々な企業様を支援(66社87サービス;2018年5月末実績)
Webでのお問い合わせはこちら
-
当社はセキュリティ保護の観点からSSL技術を使用しております。
お電話でのお問い合わせ
-
富士通Japanお客様総合センター
0120-835-554(通話無料)受付時間:平日9時~12時、13時~17時30分(土曜・日曜・祝日・当社指定の休業日を除く)
