インターネットの普及により、オンラインで決済できるサービスやECサイトも増え続けています。便利になった反面、サイバー攻撃などによる会員データの流出といった問題も後を絶たず、クレジットカードのセキュリティ対策について関心が集まっています。

今回は、「クレジットカードのセキュリティ」という場合、具体的にどのような情報を守る必要があるのか、そしてクレジットカードの国際セキュリティ基準であり、クレジットカード情報を取り扱う際に準拠が求められる「PCI DSS」とはどのようなものなのかをお伝えします。

クレジットカードの国際セキュリティ基準「PCI DSS」

PCI DSSとは、Payment Card Industry Data Security Standardsを略したもの。国際的な5大カードブランド（American Express、Discover、JCB、MasterCard、Visa）が制定した、 クレジットカード業界の国際的なセキュリティ基準です。
5社が設立した米国PCIセキュリティ基準審議会（PCI SSC＝Payment Card Industry Security Standards Council）によって運用されています。

日本では、「クレジットカード情報を保持する事業者のPCI DSS準拠」が、経済産業省のガイドラインに明示されています。国際水準のクレジットカード取引のセキュリティ環境を実現し、安全・安心なクレジットカードの利用環境の整備するための一つの要件と認識されています。

PCI DSSが生まれた背景

PCI DSSが最初に定められたのは2004年12月。それ以前は、各カードブランドが独自に安全基準を定めており、加盟店には各ブランドの定める基準に対応することが求められていました。その結果、複数のカードブランドを取り扱う加盟店は、それぞれ異なる基準を満たす必要があり、コストや労力の面で負担が大きいという問題があったのです。
その一方で、インターネットの発展による決済のグローバル化が進み、従来の各カードブランドによる安全基準では対応しきれないデータ流出など、クレジットカード被害は国内外問わず増加している状況でした。
こうした状況に対応すべく、カードブランド5社により「世界的に統一された強固なセキュリティ基準」として生み出されたのがPCI DSSなのです。

守るべきクレジットカード情報とは

クレジットカード情報は、大きく「カード会員データ」と「機密認証データ」の2種類に分けられます。
・カード会員データ
クレジットカードの表面に記載されている16桁のカード番号、有効期限、名義のことを言います。
・機密認証データ（センシティブ認証データ）
クレジットカード裏面の磁気ストライプ情報とセキュリティコード、PIN/PINブロックのことを言います。
カード会員データは、加盟店側では保持しないことが望ましいとされ、「PCI DSS」に準拠して取り扱うことが求められます。一方、機密認証データについては加盟店で保存することが禁止されています。

【おすすめ】決済代行会社のクレジットカードセキュリティについて

PCI DSSの定める12の要件とは

PCI DSSは、会員データを安全に取り扱うための基準を6つの目的に分類される12の要件として定めています。この12の要件は、さらに詳細な約300の項目によって構成されています。

【安全なネットワークの構築と維持】
要件1：カード会員データを保護するために、ファイアウォールをインストールして構成を維持する
要件2：システムパスワードおよび他のセキュリティパラメータにベンダ提供のデフォルト値を使用しない

【カード会員データの保護】
要件3：保存されるカード会員データを保護する
要件4：オープンな公共ネットワーク経由でカード会員データを伝送する場合、暗号化する

【脆弱性管理プログラムの維持】
要件5：すべてのシステムをマルウェアから保護し、ウィルス対策ソフトウェアまたはプログラムを定期的に更新する
要件6：安全性の高いシステムとアプリケーションを開発し、保守する

【強力なアクセス制御手法の導入】
要件7：カード会員データへのアクセスを、業務上必要な範囲内に制限する
要件8：システムコンポーネントへのアクセスを確認・許可する
要件9：カード会員データへの物理アクセスを制限する

【ネットワークの定期的な監視およびテスト】
要件10：ネットワークリソースおよびカード会員データへのすべてのアクセスを追跡および監視する
要件11：セキュリティシステムおよびプロセスを定期的にテストする

【情報セキュリティポリシーの維持】
要件12：すべての担当者の情報セキュリティに対応するポリシーを維持する

PCI DSSの認定を取得するには

PCI DSS準拠は、「訪問審査」「サイトスキャン」「自己問診」などといった方法の組み合わせによって認定されます。いずれの認定方法が用いられるかは、クレジットカード情報の取り扱い方法や規模により異なります。

「訪問審査」では、PCI SSCによって認定された審査機関によって行われ、クレジットカード会社や大規模事業者に求められる方法です。年に1回、定期的な審査が必要です。

「サイトスキャン」では、サーバやネットワーク、アプリケーションに対して、PCI SSC認定のスキャニングベンダーが、セキュリティ要件を満たしているかのチェックをします。年に複数回の確認が必要で、中規模事業者やインターネット利用の事業者が対象になります。

PCI DSS準拠認定を取得することにより、信用の向上およびリスク軽減につながります。また、加盟店等がPCI DSSに準拠していた場合、情報流出などによる被害が起きた際に管理責任のあるカード会社に求められる損害の補償の義務が免責されます。

クレジットカード加盟店もPCI DSSの準拠が必要なのか

クレジットカード情報を「保存、処理、伝送」する場合は、クレジットカード会社はもちろん、事業者である加盟店や銀行、決済代行サービス企業などが、取引量に応じたレベルでPCI DSSに準拠する必要があります。
加盟店の場合は、PCI DSSに準拠している決済代行会社のシステム・ノウハウを利用し、クレジットカード情報の「保存、処理、伝送」といった取扱の一切を決済代行会社に任せる方式をとることで、PCI DSSの準拠の負担を避けることが可能になります。

PCI DSSに準拠した決済システムなら「サブスクペイ」にお任せ！