お知らせ・コラム
PCI-DSSをご存じですか?
コロナ禍で市場がさらに拡大しているEC(電子商取引)サイトをはじめ、様々な商品・サービスの購入にクレジットカ-ドを利用している、という方はかなりいらっしゃると思います。電話料金などの公共料金や税金などもクレジットカ-ドで支払いができるため、個人だけでなく法人で使用しているという企業も増えています。個人情報保護法の改定を2022年4月に控えていることもあり、今まで以上に情報セキュリティ対策が求められる今、クレジットカ-ド情報に関しておさえておきたいPCI-DSSについて取り上げてみたいと思います。
【目次】
1.PCI-DSSとは
2.PCI-DSSの準拠基準
3.今回のまとめ
PCI-DSSとは
PCI -DSS(Payment Card Industry Data Security Standard)とは、クレジットカード会員の情報を保護することを目的に定められたクレジットカード業界の情報セキュリティ基準です。2004年に国際カードブランドのAmerican Express、Discover、JCB、MasterCard、VISAの5社によって策定され、その5社が共同設立した組織であるPCI-SSC(PCI Security Standards Council)によって運営・管理されています。
PCI-DSSはイシュアー(クレジットカ-ド発行会社)、アクワイアラー(クレジットカ-ド加盟店契約会社)、サービス・プロバイダー、加盟店などクレジットカ-ド情報を保持、処理、伝送する全ての企業・事業者において準拠を求められています。決済代行会社の環境を利用してカード決済を行っているEC事業者など、クレジットカード情報を自社内で保持していなければPCI-DSS準拠の対象とはなりませんが、クレジットカ-ド情報の非保持化が困難な場合はPCI-DSS準拠が必要となりますので注意が必要です。
PCI-DSSは世界基準のセキュリティであるため、PCI-DSS準拠していることが利用客に知られれば安心感を与えられ企業価値の上昇に繋がることが考えられますが、導入にかかる費用やハードルが非常に高くなっています。ECサイトの場合には自社の予算や規模等からPCI-DSSを導入するか不保持化を選択するかを判断する必要があります。
PCI-DSSの準拠基準
PCI-DSS準拠のためのシステム導入や維持・管理に高額な費用がかかるのは、準拠にかなり厳しい評価項目が定められているためです。PCI-DSSの認定方法と基準についてみてみましょう。
PCI-DSSの認定にはカード情報の取扱い形態や規模によって、
1 : 訪問審査
2 : サイトスキャン
3 : 自己問診
の3つの方法があり、カード会員データおよび取引情報を保護するために6つの目標と12の要件が規定されています。
1.安全なネットワークとシステムの構築と維持
1 ) カード会員データを保護するために、ファイアウォールをインストールして維持する
2 ) システムパスワードおよびその他のセキュリティパラメータにベンダ提供のデフォルト値を使用しない
2. カード会員データの保護
3 ) 保存されるカード会員データを保護する
4 ) オープンな公共ネットワーク経由でカード会員データを伝送する場合、暗号化する
3.脆弱性管理プログラムの整備
5 ) すべてのシステムをマルウェアから保護し、ウィルス対策ソフトウェアを定期的に更新する
6 ) 安全性の高いシステムとアプリケーションを開発し、保守する
4.強力なアクセス制御手法の導入
7 ) カード会員データへのアクセスを、業務上必要な範囲内に制限する
8 ) システムコンポーネントへのアクセスを識別・認証する
9 ) カード会員データへの物理アクセスを制限する
5.ネットワークの定期的な監視およびテスト
10 ) ネットワークリソースおよびカード会員データへのすべてのアクセスを追跡および監視する
11 ) セキュリティシステムおよびプロセスを定期的にテストする
6.情報セキュリティポリシーの整備
12 ) すべての担当者の情報セキュリティに対応するポリシーを整備する
この要件を全て満たすために、システムを導入し、維持・管理する費用が高額となることがわかる一方、小規模事業者で対応していくことはかなり困難であると言えます。
(参考)認定審査機関の種類
・QSA(Qualified Security Assessor) :
訪問審査を行い、PCI-DSSの順守状況を確認・判定する。
・ASV(Approved Scanning Vendors) :
PCI-DSS要件11.2に規定される脆弱性スキャンサービスを提供するベンダー。
・PFI(PCI Forensic Investigator) :
PCI-DSS要件に規定されるフォレンジック調査を行う認定団体。
・PA-QSA (P2PE) :
P2PEアプリケーションを開発するベンダーに対してインタビュー、ドキュメント調査、システム設定調査などの審査を正式に行う。
・P2PE QSA : PCI Point-to-Point Encryptionへの認定を調査する。
今回のまとめ
これまで日本国においてはPCI-DSSに法的拘束力はありませんでしたが、2016年12月9日に「割賦販売法の一部を改正する法律(改正割賦販売法)」が公布され、クレジットカードを取り扱う加盟店において、カード番号等の適切な管理や不正使用対策を講じることが義務づけられることとなりました。法的な罰則はありませんが、機密情報漏洩や「セキュリティ侵害」などの情報漏洩が発覚した場合、調査にかかる費用やPCI-DSS不適合を理由に違約金や莫大な争訟費用が発生する可能性があるだけでなく、企業イメ-ジの低下や売上げの減少にも直結します。
情報漏洩に対応可能な様々な補償は損害保険で備えることも可能です。PCI-DSS関連費用を含めた補償を取り扱っている保険会社もありますので、気になる方はお近くの保険代理店に問い合わせてみてはいかがでしょうか?
情報漏えいに関わる損害保険が気になる方はぜひ株式会社保険ポイントへご相談ください。企業向けコンサルタントがわかりやすく丁寧にご案内致します。
TEL>052-684-7638
お電話、メール、どちらでもお待ちしております。