2019/04/03
1.クレジットカード情報保護の条件「PCIDSS準拠」を知っていますか?
ECサイトではもちろん、中小の店舗でもクレジットカード決済の普及が進んでいます。一方で、たびたびニュースで見聞きする「クレジットカード情報の漏洩」「クレジットカードの不正利用」などセキュリティの問題も大きくなっています。
国が2020年開催のオリンピックに向けてクレジットカードのセキュリティを強化推進する一環として、 2018年6月1日より「改正割販法」が施行され、法律に基づき「クレジットカード取引におけるセキュリティ対策強化に向けた実行計画(以下実行計画)」が発表されているのをご存知でしょうか?
この実行計画ではクレジットカード情報保護のため加盟店に「カード情報非保持化」もしくは「PCIDSS準拠」の対応を求めています。今回はこのうち「PCIDSS準拠」について説明します。
「カード情報非保持化」については下記で詳しく説明しているので、興味のある方はぜひお読みください。
クレジットカード決済をご利用のEC事業者様(非対面加盟店は)「カード情報の非保持化 不正使用対策」が必要です
2.「PCIDSS」(PCIデータセキュリティスタンダード)とは?
PCIDSSとは?
PCIDSSは、加盟店などが、クレジットカード情報を安全に取り扱うために策定された、クレジットカード業界のセキュリティ基準です。「PCIデータセキュリティスタンダード(Payment Card Industry Data Security Standard)」の略称で、国際カードブランド5社(American Express、Discover、JCB、MasterCard、VISA)が共同で設立したPCI SSC(Payment Card Industry Security Standards Council)が運営しています。
PCIDSS制定の背景
以前は各カードブランドごとにセキュリティリスク管理プログラムがあり、加盟店は導入した各ブランドごとのセキュリティ基準を満たす必要がありました。しかし、ひとつの加盟店で複数ブランドのカードが使える仕組み(マルチアクワイヤリング)が普及する中で、セキュリティ対応コストが大きな課題となり、統一のセキュリティ対策基準として「PCIDSS」が発足しました。
3.PCIDSSの適用事業者と範囲
カード情報を「保存、処理、または伝送する」企業であるカード加盟店、銀行、決済代行など行うサービス・プロバイダーが、年間のカード取引量に応じて、PCI DSS に準拠する必要があります。
PCI DSS遵守の対応が必要な事業者
クレジットカード発行会社、クレジットカード加盟店契約会社、サービス・プロバイダー、加盟店
PCI DSS遵守の対応が必要な業界の例
- 金融業:
- クレジットカード会社、クレジットカード発行金融機関
- 流通業:
- 大手百貨店、スーパー、量販店、鉄道、航空会社
- 通信/メディア/公共:
- 携帯電話会社、通信会社、ユーティリティ、新聞
- 製造業:
- 石油業界 他
PCI DSSの適用範囲
PCI DSS のセキュリティ要件は、カード会員データ環境に含まれる、または接続されるすべてのシステムコンポーネントに適用されます。カード会員データ環境(CDE)は、カード会員データまたは機密認証データを保存、処理、または送信する人、処理、およびテクノロジーで構成されます。「システムコンポーネント」には、ネットワークデバイス、サーバー、コンピューター、アプリケーションが含まれます。(以下略)
PCIDSSでは上記のように定義されています。難解ですが、おおまかには下記になります。
- クレジットカードリーダー
- POSシステム
- そのほかクレジットカード決済に関連するシステムとネットワーク
- クレジットカード情報を含む書類
- オンラインでの注文や支払い情報のデータ
自社のシステムだけでなく、委託先の業務やシステムも含まれることがあります。
4.PCIDSSの要件
PCI DSSでは、クレジットカード情報を安全に取り扱うために、6つの目標とそれに対応する12の要件のもと、具体的な約400項目もの要求基準が定められています。
| 安全なネットワークの環境と維持 | |
|---|---|
| 要件1 | カード会員データを保護するために、ファイアウォールをインストールして構成を維持する |
| 要件2 | システムパスワードおよび他のセキュリティパラメータにベンダ提供のデフォルト値を使用しない |
| カード会員データの保護 | |
| 要件3 | 保存されるカード会員データを保護する |
| 要件4 | オープンな公共ネットワーク経由でカード会員データを伝送する場合、暗号化する |
| 脆弱性管理プログラムの整備 | |
| 要件5 | すべてのシステムをマルウェアから保護し、ウィルス対策ソフトウェアまたはプログラムを定期的に更新する |
| 要件6 | 安全性の高いシステムとアプリケーションを開発し、保守する |
| 強力なアクセス制御手法の導入 | |
| 要件7 | カード会員データへのアクセスを、業務上必要な範囲内に制限する |
| 要件8 | システムコンポーネントへのアクセスを確認・許可する |
| 要件9 | カード会員データへの物理アクセスを制限する |
| ネットワークの定期的な監視およびテスト | |
| 要件10 | ネットワークリソースおよびカード会員データへのすべてのアクセスを追跡および監視する |
| 要件11 | セキュリティシステムおよびプロセスを定期的にテストする |
| 情報セキュリティポリシーの整備 | |
| 要件12 | すべての担当者の情報セキュリティに対応するポリシーを維持する |
5.PCIDSSの認定取得方法
PCIDSSの認定取得方法は、カード情報の取扱い形態や規模によって、3つの方法があります。いずれか1つの適用というわけでなく、カード情報の取扱い規模や事業形態によって、複数を実施する必要があります。
1 訪問審査
認定された審査機関(QSA=Qualified Security Assessor)による訪問審査を受けて、認証を取得します。カード発行会社など、クレジットカード情報の取扱い件数・金額が大きな事業者に、要請されている方法です。
2 サイトスキャン
WEBサイトから侵入されて、情報を盗み取られることがないか、PCI国際協議会によって認定されたベンダー(ASV=Approved Scanning Vendor) のスキャンツールによって、四半期に1回以上の点検を受けて、サイトに脆弱性のないことの認証を得ます。カード情報の取扱いが中規模、およびインターネットに接続している事業者には必須の方法です。
3 自己問診
自己問診とはセルフチェックです。チェックリストにそってPCIDSSの要求事項を確認し、すべて「Yes」であれば「PCIDSSに準拠している」と認められます。カード情報取扱い件数の比較的少ない、一般加盟店などの事業者向けの方法です。
6.クレジットカード加盟店が要求されるPCIDSS準拠事項
取り扱うクレジットカードブランド(VISA, MASTERなど)と、クレジットカード決済の取り扱い件数(年100万件未満, 2万件未満など)によって、PCIDSSにどのレベルで準拠する必要があるかは異なります。一例としてVISAの分類を紹介します。
VISA:年間決済取扱い件数によるレベル分類と要件
| レベル1 | レベル2 | レベル3 | レベル4 | |
|---|---|---|---|---|
| 年間決済取扱件数 | ~2万件 | 2万件~ 100万件 |
100万件~ 600万件 |
600万件~ |
| 自己問診票(SAQ) | 必須 | 必須 | 必須 | |
| 四半期ごとに、ASVによる外部ネットワークの脆弱性スキャン | 必須 | 必須 | 必須 | |
| 四半期ごとに、ASVによる内部ネットワークの脆弱性スキャン | 必須 | 必須 | ||
| ネットワーク層とアプリケーション層への内部・外部ペネトレーションテスト | 必須 | 必須 | ||
| QSAによる訪問審査 | 推奨 | 必須 |
※サービズプロバイダーは、年30万件以上でレベル1、年30万件未満でレベル2への対応が必要
年間のクレジットカード決済件数が2万件未満であれば「自己問診票(SAQ)」のみでPCIDSSに準拠できます。取り扱い件数が増え、2万件~100万件になると「自己問診票(SAQ)」に加え、「外部ネットワークの脆弱性スキャン」が必要になります。取り扱い件数がさらに増えれば、PCIDSS準拠に必要な条件は厳しくなります。
タイプ別SAQ(自己問診)
自己問診のチェック項目は約400もありますが、条件によっては最小22項目まで減らすことができます。全てのカード決済処理を外部委託するリンク型のクレジットカード決済を利用しているECサイトなどが該当し、「SAQ A」タイプと呼ばれます。
| 加盟店の業態 | カード情報の取扱い形態 | 求められる PCI DSS SAQ タイプ |
準拠 項目数 (付録含) |
|---|---|---|---|
| 非対面EC/通信販売加盟店 | |||
|
EC または通信販売の加盟店でカード情報をシステムまたは加盟店内で電子形式で通過、処理、保存しない | SAQ A | 22 |
|
EC の決済を PCI DSS 準拠済みのサービスプロバイダーに部分的に委託している EC の加盟店でカード情報をシステムまたは加盟店内で電子形式で通過、処理、保存しない | SAQ A-EP |
193 | 対面/通信販売加盟店 ※EC加盟店には適用されない |
| CCT などの決済端末をダイアルアップ接続する主に対面加盟店 | インプリンタ、スタンドアロン型のダイアルアップの決済端末のみによってカード情報を処理する加盟店であり、カード情報を保存していない | SAQ B | 41 |
| CCT などの決済端末を IP接続する主に対面加盟店 | 決済ネットワークまたは ASP/クラウド事業者に IP 接続されるスタンドアロン型の PCI PTS 認定の決済端末のみによってカード情報を処理する加盟店であり、カード情報を保存していない | SAQ B-IP | 88 |
| POS をインターネットに接続してカード処理する主に POS 加盟店 | POS システムまたはその他のインターネットに接続されているペイメントアプリケーション経由でカード情報を処理するが、カード情報をコンピュータシステムに保存しない加盟店 | SAQ C | 162 |
| 電話やハガキ/FAX でカード処理する主に通信販売加盟店 | Web ブラウザなどの仮装端末のみでインターネットを経由して、1 件ずつカード情報を処理し、カード情報をコンピュータシステムに保存し ない。決済に利用する Web アプリケーションは PSP、アクワイアラーなどサードパーティから提供される必要がある | SAQ C-VT | 85 |
| PCI P2PE ソリューションを導入した主に POS 加盟店 | PCI P2PE に認定されたソリューションを導入し、それらに含まれる決済端末のみでカード情報を処理する加盟店であり、カード情報を保存していない | SAQ P2PE | 33 | 対面/非対面加盟店 |
|
|
SAQ D Marchant |
331 |
7.PCIDSSの要件への対応方法
PCIDSSの要件に対するDGフィナンシャルテクノロジー(DGFT、旧ベリトランス)での対応方法を紹介します。非常に専門的な内容になるので、読む必要はありません。ざっと目を通して「専門的で手間のかかる項目が多数ある」ということを知ってください。
安全なネットワークの環境と維持
| No | 要件 | 対応方法 |
|---|---|---|
| 1 | カード会員データを保護するために、ファイアウォールをインストールして構成を維持する |
|
| 2 | システムパスワードおよび他のセキュリティパラメータにベンダ提供のデフォルト値を使用しない |
|
カード会員データの保護
| No | 要件 | 対応方法 |
|---|---|---|
| 3 | 保存されるカード会員データを保護する |
|
| 4 | オープンな公共ネットワーク経由でカード会員データを伝送する場合、暗号化する |
|
脆弱性管理プログラムの整備
| No | 要件 | 対応方法 |
|---|---|---|
| 5 | すべてのシステムをマルウェアから保護し、ウィルス対策ソフトウェアまたはプログラムを定期的に更新する |
|
| 6 | 安全性の高いシステムとアプリケーションを開発し、保守する |
|
強固なアクセス制御手法の導入
| No | 要件 | 対応方法 |
|---|---|---|
| 7 | カード会員データへのアクセスを、業務上必要な範囲内に制限する |
|
| 8 | システムコンポーネントへのアクセスを確認・許可する |
|
| 9 | カード会員データへの物理アクセスを制限する |
|
ネットワークの定期的な監視およびテスト
| No | 要件 | 対応方法 |
|---|---|---|
| 10 | ネットワークリソースおよびカード会員データへのすべてのアクセスを追跡および監視する |
|
| 11 | セキュリティシステムおよびプロセスを定期的にテストする |
|
情報セキュリティーポリシーの整備
| No | 要件 | 対応方法 |
|---|---|---|
| 12 | すべての担当者の情報セキュリティに対応するポリシーを維持する |
|
DGフィナンシャルテクノロジーでのPCIDSSへの対応方法について、より具体的な話は下記の記事にて紹介しています。興味のある方はチェックしてみてください。
急がれるPCI DSS準拠、ベリトランス(現:DGFT)はどう対応したのか。確実かつ効率的なソリューションは?
8.PCIDSS認定取得のプロセスと費用
要件の項目数を限定すれば簡単にも思えるPCI DSS対応ですが、実際には非常に多くの工数が必要です。
PCIDSS準拠までのタスクと流れ
●1 スコープ調査 - PCI DSS準拠対象範囲の確定
カード会員情報の取り扱い範囲とPCI DSS準拠対応が必要な範囲を確定します。
●2 ギャップ分析
自社のシステムや運用を確認し、PCIDSSの要求項目との「ギャップ分析」を行います。これに基づいて、必要な改善計画を策定します。
●3 改善計画の立案と実装
改善計画に基づいて、システムへの実装や運用の変更を行います。実装後は、改善を確認します。PCISDSSのすべての要件が満たされるように改善します。
●4 テスト実施
「ASVスキャン」や「ペネトレーションテスト」によって脆弱性対応が完了していることをテストします。訪問審査に向けて、規程類や証跡を準備します。
●5 訪問審査
QSAによる訪問審査を受けます。すべての審査にクリアするとPCIDSS準拠が認められます。準拠状態を維持する活動を継続します。
PCIDSS認証取得の費用
一般的には、PCI DSSの初回の認証取得までにかかる費用は小規模でも数千万円~、期間は半年~1年とされています。
PCIDSSの認定取得コスト(初回の場合)
| 費用 | 数千万円~ |
|---|---|
| 期間 | 半年~1年 |
9.まとめ
自社でのPCIDSS対応は現実的ではない
ここまででおわかりのように、PCI DSS認定取得には多くの場合、膨大なコストと時間が必要となるため、クレジットカード加盟店でのPCIDSS準拠はハードルが高く現実的でありません。初回の認証取得後も、継続してPCIDSSに準拠した運用が必要であり、また2年に1度の更新も必要です。
費用面のハードル
- 初期 数千万円~
- 運用 月100万円~
運用面のハードル
- 最新のセキュリティ脆弱性への対応
- セキュリティ監視、記録、保管
- システムや業務の運用手順書の遵守
- 上記に伴う従業員教育
- 年1回の継続審査
- 約2年に1回のPCIDSSバージョンアップへの対応
多くの事業者が「カード情報の非保持化」を選択
そこで、多くの事業者が選択しているのは、クレジットカード決済をPCIDSS準拠事業者に委託する方法です。実行計画では、PCIDSS準拠事業者と提携し、「カード情報の非保持化」を行えば、カード情報の保護に対応したとされています。
DGフィナンシャルテクノロジー(DGFT、旧ベリトランス)は2007年からPCIDSSに準拠
~クレジットカードセキュリティのリーダー企業として取り組み
弊社でも決済代行サービスを提供する会社として、日本で初めてPCIDSSに準拠し、以来多くの加盟店さまのクレジットカード情報を預かり「カード情報の非保持化」ソリューションを提供しています。長年に渡って最新のセキュリティ基準に対応を続けています。
DGフィナンシャルテクノロジーのセキュリティ・PCIDSSへの取り組みの歴史
- 2005年
- Pマーク取得(カード番号は個人情報として定義)
- 2006年
- 国内企業初のVISA AIS準拠(PCI DSS ver1.0)
- 2007年
- PCI SSC Participating Organizationに加盟
- 2007年
- PCI DSS ver1.1準拠
- 2009年
- PCI SSC PO Japan連絡会 発足メンバーとして参加
- 2011年
- PCI DSS ver2.0準拠
- 2013年
- サービス環境を全面リニューアル(PCI DSSを見据えて)
- 2014年
- ISMS取得(ISO/IEC27001)
- 2014年
- PCI DSS ver3.0準拠
- 2015年
- PCI DSS ver3.1準拠
- 2016年
- PCI DSS ver3.2準拠
- 2018年
- PCI DSS ver.3.2.1準拠
- 2019年
- PCI DSS ver.3.2.1更新
PCIDSS遵守維持宣言
このように準拠が非常に大変なPCIDSSですが、クレジットカードのセキュリティを守り、お客様に安心・安全なサービスを利用いただくために極めて重要なセキュリティ基準です。弊社では、「PCIDSS遵守維持宣言」としてまとめた文章を公表し、全社員で高いセキュリティの維持に取り組んでいます。
クレジットカードのセキュリティについて悩みがある場合はぜひご相談ください!
公開日:2019/04/03
更新日:2020/10/30
お気軽にお問い合わせ・ご相談ください
決済代行、越境EC、EC総合支援サービスの導入なら決済代行専業会社のDGフィナンシャルテクノロジー(旧:ベリトランス)へ。お急ぎの場合はお電話にてご連絡ください。
