PCI DSSとは:12の要件と定義、コンプライアンス

PCI DSSとは?

PCI DSS (Payment Card Industry Data Security Standard)とは、クレジットカード情報を処理、伝送、保管するすべての組織に適用される情報セキュリティ基準です。PCI DSSは、ペイメントカード取引のセキュリティを向上させてクレジットカードの不正利用を減らすことを目的として、独立機関であるPCI Security Standards Council(PCI SSC)によって作成され、監督されています。

PCI SSCは、5大ペイメントカードブランド(Visa、MasterCard、American Express、Discover、JCB)によるジョイントベンチャーとして2006年に設立されました。その目標は、顧客の情報を保護するための明確かつ相互運用可能な一連の基準を策定することでした。SSC自体がPCI DSSへの準拠を強制しているわけではありませんが、この基準は現在では広く受け入れられており、規模や業界を問わず、クレジットカードやデビットカード、キャッシュカード情報を扱うすべての組織に適用されています。

最近注目を集めているデータ侵害や大きな被害をもたらしたハッキングインシデント、サイバーセキュリティの欠陥の報告などを考慮すれば、顧客がうんざりしているとしても無理はありません。 現在、膨大な量の個人識別情報がデータベースやクラウドに保管されており、自分のデータのプライバシーに関心のある顧客はこれを大きなリスクととらえています。これらをはじめとするさまざまな要因により、データセキュリティは現代の企業、特に金融業界の企業にとって最重要課題となっています。

顧客が個人データのプライバシーを危険にさらすことなく、簡単にカード決済を行えるようにする安全な決済ネットワークの構築は、金融業界のデータセキュリティにおける極めて重要な要素です。こうした課題に対処するために、クレジットカードやデビットカードの情報を保護するための要件を課すことを目的として、PCI DSSが策定されました。これらの要件によって、世界中の情報セキュリティの向上に拍車がかかりました。

ここでは、PCI DSSの12つの要件を紹介し、準拠レベルの理解を確認する方法について解説します。

PCI DSSについて会話する場合、次のようないくつかのキーワードが登場します。

  • 加盟店とは、主要なペイメントカード会社5社が提供するブランドのカードによる支払いを受け付ける企業または個人を指します。物理的なカードが使用されるか、あるいは消費者が単に商品やサービスの支払いに必要なカード会員情報を提供するだけであるかにかかわらず、支払いを受け付ける事業者は加盟店とみなされます。
  • サービスプロバイダーとは、カード会員データを他の企業や個人に代わって保管、処理、伝送する事業者を指します。サービスプロバイダーは、加盟店に決済に関する各種サービスを提供する中間業者であると言えます。通信事業者のような企業は、(インターネットアクセスを提供することで)直接支払いを受け取るのと同時に、(カード会員情報をインターネット経由で伝送することで)支払いを可能にしているという点で、加盟店とサービスプロバイダーの両方を兼ねていると考えられます。
  • PA-DSSとは、Payment Application Data Security Standardの略です。これは、加盟店がPCI DSS要件に容易に準拠できるようにするポリシーをベンダーおよびサービスプロバイダーに採用させるために策定された、補完的な基準です。2つの基準は別個のものですが、PA DSSはPCI DSSの実施をサポートするように設計されています。

PCI DSSの12の要件

PCI DSSは、PCI SSCが定めた6つの主要な目的の下に体系づけられた、12の要件で構成されています。それぞれの要件は、企業が関連する目的を満たすために役立つ、具体的かつ常識的なセキュリティ対策となっています。目標と関連するPCI DSSの要件は以下のとおりです。

  1. 安全なネットワークの構築と維持
    • カード会員データを保護するために、ファイアウォールをインストールして構成を維持する
    • システムパスワードおよび他のセキュリティパラメーターにベンダー提供のデフォルト値を使用しない
  2. カード会員データの保護
    • 保存されるカード会員データを保護する
    • オープンな公共ネットワーク経由でカード会員データを伝送する場合、暗号化する
  3. 脆弱性管理プログラムの維持
  4. ウイルス対策ソフトウェアまたはプログラムを使用し、定期的に更新する
  5. 安全性の高いシステムとアプリケーションを開発し、保守する
    • 強力なアクセス制御手法の導入
  6. カード会員データへのアクセスを、業務上必要な範囲内に制限する
  7. コンピューターにアクセスできる各人に一意のIDを割り当てる
    • ネットワークの定期的な監視およびテスト
    • カード会員データへの物理的なアクセスを制限する
  8. ネットワークリソースおよびカード会員データへのすべてのアクセスを追跡および監視する
    • 情報セキュリティポリシーの維持
  9. セキュリティシステムおよびプロセスを定期的にテストする
  10. すべての担当者の情報セキュリティに対応するポリシーを維持する

PCI DSSの準拠レベルの理解

PCI DSSの準拠レベルは4段階あり、加盟店は年間に処理する取引量によって分類されます。大規模な加盟店では責任を負う個別の取引の数が多くなるため、そうした加盟店は大きな標的となり、より多くの人々がリスクにさらされる可能性があります。そのため、取引量の多い場合のPCI DSS準拠レベルは、より厳格なコンプライアンス要件に対応しています。

Merchant level Applicability Compliance requirements
1 Any merchant processing more than 6 million payment card transactions per year, as well as some merchants specifically designated by members of the SSC 1. Report on compliance
2. Vulnerability scan
3. Attestation of compliance
2 All merchants processing between 1 million and 6 million transactions per year 1. Self-Assessment questionnaire
2. Vulnerability scan
3. Attestation of compliance
3 Merchants processing between 20,000 and 1 million e-commerce transactions per year 1. Self-Assessment Questionnaire
2. Vulnerability scan
3. Attestation of Compliance
4 Merchants processing less than 20,000 e-commerce transactions or less than 1 million transactions generally per year 1. Self-Assessment Questionnaire
2. Vulnerability scan
3. Attestation of Compliance

それぞれの準拠レベルは、わずか4つの具体的な要件を入れ替えることで構成されます。自己問診(SAQ)、脆弱性スキャン、準拠証明書(AOC)、準拠に関するレポート(ROC)はいずれも、第三者の評価者または企業自身がPCI DSSへの準拠を評価する際に使用される手順です。

自己問診(SAQ)

SAQは、事業者がPCI DSSに準拠しているかどうかを評価することを目的とした、「はい」または「いいえ」で回答する各種の質問で構成されています。準拠に関するレポート(ROC)を必要としないすべての加盟店が記入する必要があります。

さまざまな問診票が存在するため、加盟店およびサービスプロバイダーはSAQを記入する前に、どの特定のフォームが適用されるかを判断する必要があります。この選択は主として、企業がどのようにカード決済を受け入れて処理するかに基づいています。たとえば、オンライン決済アプリケーションを使用しているが、カード会員データを保管しない加盟店は、SAQ-Cに記入する必要があります。企業はPCI Webサイト上のリソースを使用して、適切なSAQフォームを選択できます。

使用する問診票に応じて、SAQの質問の数は約20問から300問以上まで違いがあります。加盟店はPCI DSSに準拠しているかどうかを正しく判断するために、SAQの質問に注意深く率直に回答する必要があります。

脆弱性スキャン

脆弱性スキャンとは、加盟店やサービスプロバイダーの公開インターネットおよび消費者向けの決済アプリケーションとポータルを、外部からスキャンすることです。これらのスキャンは、PCI SSCによって任命された認定スキャニングベンダー(ASV)によって実施され、PCI DSSへの準拠を実用的なレベルで評価します。

ASVはリモートツールを使用して、スキャン対象の組織のシステムに存在する脆弱性やデータのセキュリティリスクを検出します。スキャンは四半期ごとに(90日に1回)実施する必要があります。

適用されるPCI DSS準拠レベルに関わらず、ほぼすべての加盟店がスキャンを受ける必要があります。しかし、SAQを完了した加盟店の一部では、適切なSAQフォームを選択する際に使用したのと同じサブ分類に基づいてスキャンが免除される可能性があります。具体的には、SAQ A-EP、B-IP、C、Dとして認定されたすべての事業者(加盟店またはサービスプロバイダー)は脆弱性スキャン要件に合格する義務を負いますが、SAQ A、B、C-VT、PEPE-HWとして認定された事業者は義務を負いません。

準拠証明書(AOC)

準拠証明書(AOC)要件は、準拠レベルによらず、PCI DSSに準拠しようとするすべての加盟店に適用されます。この文書は、加盟店またはサービスプロバイダーが自ら問診を行う場合には加盟店またはサービスプロバイダーが署名して提出し、準拠に関するレポート(ROC)が必要な加盟店の場合には評価者が署名して提出します。

AOCは、SAQフォームの種類ごとに異なるバージョンが用意されています。たとえば、SAQ「A」の問診票を記入する加盟店は、対応するAOC「A」の文書を使用します。

AOCとは一言で言うと、すべてのPCI DSS評価の最終結果を宣言するものです。この文書が最終的に、PCI DSSに準拠している証拠となります。

準拠に関するレポート(ROC)

SAQとは異なり、ROCは加盟店ではなく、認定セキュリティ評価機関(QSA)によって記入されます。QSAは、PCI DSSへの準拠を独立して評価するPCI SCCによって承認された第三者機関で、スキャニングベンダーなどが含まれます。

評価が完了すると、QSAはレポートを評価した加盟店の銀行に直接提出します。ROCは、最も大規模かつ最もリスクの高い加盟店およびベンダーにのみ要求されます。これは、他の準拠レベルにおける自己申告式の問診票に相当しますが、より厳格なものです。

クラウドにおけるPCI DSS準拠の必要性

名の知られた加盟店や最も大規模なサービスプロバイダーといった企業が、オンプレミスのシステムからクラウドへと移行するにつれて、データセキュリティ全般に対する懸念も高まっています。Eコマースやオンライン金融サービスの急激な拡大に合わせて、オンラインでの詐欺やハッキング行為がより巧妙化しており、危険な組み合わせとなっています。

こうした企業の顧客とその個人データを守るために、PCI DSSのような基準が今まで以上に重要となっています。現代のデータプライバシーの懸念に基づいて設計されたPCI DSSは、ますます多くの決済データをクラウド上で扱う企業にとって欠かすことのできない確立されたガイドラインとなっています。

PCI DSSへの準拠の重要性

PCI DSSは任意の基準であり、何らかの機関や政府によって法律で定められているものではありません。しかしながら広く受け入れられており、要件に従わなかった加盟店やサービスプロバイダーには大きな罰則が科される可能性があります。

金銭的な罰則としては、多額の罰金や加盟店による費用負担があります。このような罰金や取引手数料の増加は通常、銀行によって負担されますが、PCI DSSへの準拠を怠った企業は、政府や個人、その他の団体からの懲罰的措置や訴訟を受ける可能性があります。

金銭的以外の罰則としては、主要なカードブランドが非準拠の加盟店やサービスプロバイダーに課す、強制的な監査や監視があります。これらは広報活動に悪影響を及ぼすだけでなく、企業に時間とリソースの負担を強いることになります。

Talendでは、データ統合とデータ整合性に特化した包括的なアプリケーションスイートを提供しており、あらゆる規模の企業がPCI DSSに準拠するための業務を簡素化するのに役立ちます。Talend Data Fabricは、カード会員データにアクセスできるビジネスユーザーを制限するといった独自の機能を備えており、顧客データの管理体制を強化して、決済ネットワークに信頼をもたらすことを可能にします。今すぐTalend Data Fabricをお試しになり、信頼できるデータを保護しましょう。

Talendを使う準備はできていますか?