クレジットカードを扱う店舗・ECサイトが知っておきたい「PCIDSS」の基礎知識

2019/04/03

1.クレジットカード情報保護の条件「PCIDSS準拠」を知っていますか?

ECサイトではもちろん、中小の店舗でもクレジットカード決済の普及が進んでいます。一方で、たびたびニュースで見聞きする「クレジットカード情報の漏洩」「クレジットカードの不正利用」などセキュリティの問題も大きくなっています。

国が2020年開催のオリンピックに向けてクレジットカードのセキュリティを強化推進する一環として、 2018年6月1日より「改正割販法」が施行され、法律に基づき「クレジットカード取引におけるセキュリティ対策強化に向けた実行計画(以下実行計画)」が発表されているのをご存知でしょうか?
この実行計画ではクレジットカード情報保護のため加盟店に「カード情報非保持化」もしくは「PCIDSS準拠」の対応を求めています。今回はこのうち「PCIDSS準拠」について説明します。

「カード情報非保持化」については下記で詳しく説明しているので、興味のある方はぜひお読みください。

クレジットカード決済をご利用のEC事業者様(非対面加盟店は)「カード情報の非保持化 不正使用対策」が必要です

2.「PCIDSS」(PCIデータセキュリティスタンダード)とは?

PCIDSSとは?

PCIDSSは、加盟店などが、クレジットカード情報を安全に取り扱うために策定された、クレジットカード業界のセキュリティ基準です。「PCIデータセキュリティスタンダード(Payment Card Industry Data Security Standard)」の略称で、国際カードブランド5社(American Express、Discover、JCB、MasterCard、VISA)が共同で設立したPCI SSC(Payment Card Industry Security Standards Council)が運営しています。

PCIDSS制定の背景

以前は各カードブランドごとにセキュリティリスク管理プログラムがあり、加盟店は導入した各ブランドごとのセキュリティ基準を満たす必要がありました。しかし、ひとつの加盟店で複数ブランドのカードが使える仕組み(マルチアクワイヤリング)が普及する中で、セキュリティ対応コストが大きな課題となり、統一のセキュリティ対策基準として「PCIDSS」が発足しました。

3.PCIDSSの適用事業者と範囲

カード情報を「保存、処理、または伝送する」企業であるカード加盟店、銀行、決済代行など行うサービス・プロバイダーが、年間のカード取引量に応じて、PCI DSS に準拠する必要があります。

PCI DSS遵守の対応が必要な事業者

クレジットカード発行会社、クレジットカード加盟店契約会社、サービス・プロバイダー、加盟店

PCI DSS遵守の対応が必要な業界の例

金融業:
クレジットカード会社、クレジットカード発行金融機関
流通業:
大手百貨店、スーパー、量販店、鉄道、航空会社
通信/メディア/公共:
携帯電話会社、通信会社、ユーティリティ、新聞
製造業:
石油業界 他

PCI DSSの適用範囲

PCI DSS のセキュリティ要件は、カード会員データ環境に含まれる、または接続されるすべてのシステムコンポーネントに適用されます。カード会員データ環境(CDE)は、カード会員データまたは機密認証データを保存、処理、または送信する人、処理、およびテクノロジーで構成されます。「システムコンポーネント」には、ネットワークデバイス、サーバー、コンピューター、アプリケーションが含まれます。(以下略)

PCIDSSでは上記のように定義されています。難解ですが、おおまかには下記になります。

  • クレジットカードリーダー
  • POSシステム
  • そのほかクレジットカード決済に関連するシステムとネットワーク
  • クレジットカード情報を含む書類
  • オンラインでの注文や支払い情報のデータ

自社のシステムだけでなく、委託先の業務やシステムも含まれることがあります。

4.PCIDSSの要件

PCI DSSでは、クレジットカード情報を安全に取り扱うために、6つの目標とそれに対応する12の要件のもと、具体的な約400項目もの要求基準が定められています。

安全なネットワークの環境と維持
要件1 カード会員データを保護するために、ファイアウォールをインストールして構成を維持する
要件2 システムパスワードおよび他のセキュリティパラメータにベンダ提供のデフォルト値を使用しない
カード会員データの保護
要件3 保存されるカード会員データを保護する
要件4 オープンな公共ネットワーク経由でカード会員データを伝送する場合、暗号化する
脆弱性管理プログラムの整備
要件5 すべてのシステムをマルウェアから保護し、ウィルス対策ソフトウェアまたはプログラムを定期的に更新する
要件6 安全性の高いシステムとアプリケーションを開発し、保守する
強力なアクセス制御手法の導入
要件7 カード会員データへのアクセスを、業務上必要な範囲内に制限する
要件8 システムコンポーネントへのアクセスを確認・許可する
要件9 カード会員データへの物理アクセスを制限する
ネットワークの定期的な監視およびテスト
要件10 ネットワークリソースおよびカード会員データへのすべてのアクセスを追跡および監視する
要件11 セキュリティシステムおよびプロセスを定期的にテストする
情報セキュリティポリシーの整備
要件12 すべての担当者の情報セキュリティに対応するポリシーを維持する

5.PCIDSSの認定取得方法

PCIDSSの認定取得方法は、カード情報の取扱い形態や規模によって、3つの方法があります。いずれか1つの適用というわけでなく、カード情報の取扱い規模や事業形態によって、複数を実施する必要があります。

1 訪問審査

認定された審査機関(QSA=Qualified Security Assessor)による訪問審査を受けて、認証を取得します。カード発行会社など、クレジットカード情報の取扱い件数・金額が大きな事業者に、要請されている方法です。

2 サイトスキャン

WEBサイトから侵入されて、情報を盗み取られることがないか、PCI国際協議会によって認定されたベンダー(ASV=Approved Scanning Vendor) のスキャンツールによって、四半期に1回以上の点検を受けて、サイトに脆弱性のないことの認証を得ます。カード情報の取扱いが中規模、およびインターネットに接続している事業者には必須の方法です。

3 自己問診

自己問診とはセルフチェックです。チェックリストにそってPCIDSSの要求事項を確認し、すべて「Yes」であれば「PCIDSSに準拠している」と認められます。カード情報取扱い件数の比較的少ない、一般加盟店などの事業者向けの方法です。

6.クレジットカード加盟店が要求されるPCIDSS準拠事項

取り扱うクレジットカードブランド(VISA, MASTERなど)と、クレジットカード決済の取り扱い件数(年100万件未満, 2万件未満など)によって、PCIDSSにどのレベルで準拠する必要があるかは異なります。一例としてVISAの分類を紹介します。

VISA:年間決済取扱い件数によるレベル分類と要件

  レベル1 レベル2 レベル3 レベル4
年間決済取扱件数 ~2万件 2万件~
100万件
100万件~
600万件
600万件~
自己問診票(SAQ) 必須 必須 必須  
四半期ごとに、ASVによる外部ネットワークの脆弱性スキャン   必須 必須 必須
四半期ごとに、ASVによる内部ネットワークの脆弱性スキャン     必須 必須
ネットワーク層とアプリケーション層への内部・外部ペネトレーションテスト     必須 必須
QSAによる訪問審査     推奨 必須

※サービズプロバイダーは、年30万件以上でレベル1、年30万件未満でレベル2への対応が必要

年間のクレジットカード決済件数が2万件未満であれば「自己問診票(SAQ)」のみでPCIDSSに準拠できます。取り扱い件数が増え、2万件~100万件になると「自己問診票(SAQ)」に加え、「外部ネットワークの脆弱性スキャン」が必要になります。取り扱い件数がさらに増えれば、PCIDSS準拠に必要な条件は厳しくなります。

タイプ別SAQ(自己問診)

自己問診のチェック項目は約400もありますが、条件によっては最小22項目まで減らすことができます。全てのカード決済処理を外部委託するリンク型のクレジットカード決済を利用しているECサイトなどが該当し、「SAQ A」タイプと呼ばれます。

加盟店の業態 カード情報の取扱い形態 求められる PCI DSS
SAQ タイプ
準拠
項目数
(付録含)
非対面EC/通信販売加盟店
  • PSP のリンク(リダイレクト)型の決済サービスを使用するEC 加盟店
  • カード情報の全ての処理を外部委託する EC/通信販売加盟店
EC または通信販売の加盟店でカード情報をシステムまたは加盟店内で電子形式で通過、処理、保存しない SAQ A 22
  • PSP の JavaScript 型の決済サービスを使用する EC加盟店
EC の決済を PCI DSS 準拠済みのサービスプロバイダーに部分的に委託している EC の加盟店でカード情報をシステムまたは加盟店内で電子形式で通過、処理、保存しない SAQ
A-EP
193
対面/通信販売加盟店 ※EC加盟店には適用されない
CCT などの決済端末をダイアルアップ接続する主に対面加盟店 インプリンタ、スタンドアロン型のダイアルアップの決済端末のみによってカード情報を処理する加盟店であり、カード情報を保存していない SAQ B 41
CCT などの決済端末を IP接続する主に対面加盟店 決済ネットワークまたは ASP/クラウド事業者に IP 接続されるスタンドアロン型の PCI PTS 認定の決済端末のみによってカード情報を処理する加盟店であり、カード情報を保存していない SAQ B-IP 88
POS をインターネットに接続してカード処理する主に POS 加盟店 POS システムまたはその他のインターネットに接続されているペイメントアプリケーション経由でカード情報を処理するが、カード情報をコンピュータシステムに保存しない加盟店 SAQ C 162
電話やハガキ/FAX でカード処理する主に通信販売加盟店 Web ブラウザなどの仮装端末のみでインターネットを経由して、1 件ずつカード情報を処理し、カード情報をコンピュータシステムに保存し ない。決済に利用する Web アプリケーションは PSP、アクワイアラーなどサードパーティから提供される必要がある SAQ C-VT 85
PCI P2PE ソリューションを導入した主に POS 加盟店 PCI P2PE に認定されたソリューションを導入し、それらに含まれる決済端末のみでカード情報を処理する加盟店であり、カード情報を保存していない SAQ P2PE 33
対面/非対面加盟店
  • PSP のモジュール(プロトコル)型を使用する EC 加盟店
  • カード情報をサーバーや PC で保存する POS や通信販売加盟店
  • カード情報を POS システムで通過、処理、保存する加盟店
  • カード情報を自社のサーバーで処理する加盟店
  • カード情報を電子形式で保存する加盟店
  • カード情報を電子形式で保存しないが他の SAQ タイプの基準を満たさない加盟店
  • 他の SAQ タイプを満たす環境にあるが、自社の環境に他の PCI DSS 要件が適用されるような加盟店
SAQ D
Marchant
331

7.PCIDSSの要件への対応方法

PCIDSSの要件に対するベリトランスでの対応方法を紹介します。非常に専門的な内容になるので、読む必要はありません。ざっと目を通して「専門的で手間のかかる項目が多数ある」ということを知ってください。

安全なネットワークの環境と維持

No 要件 対応方法
1 カード会員データを保護するために、ファイアウォールをインストールして構成を維持する
  • セグメントごとに適切なファイアウォールを設置
  • 適切なセグメント分割とサーバ間通信の制限
  • 適切な外部通信の実装とポート制限
  • 適切なACL(アクセス制御リスト)設定
  • 定期的な設定確認
2 システムパスワードおよび他のセキュリティパラメータにベンダ提供のデフォルト値を使用しない
  • 適切なセキュリティ設定
  • 適切なサーバ構築
  • ワイヤレス接続禁止
  • 4半期に一度の無線APスキャン

カード会員データの保護

No 要件 対応方法
3 保存されるカード会員データを保護する
  • データベース、およびバックアップデータを適切に暗号化
  • 定期的な暗号化キーの交換に対応
  • 保存不可データの有無を確認
4 オープンな公共ネットワーク経由でカード会員データを伝送する場合、暗号化する
  • インターネット経由の全サービスデータの暗号化
  • 脆弱なプロトコル、サービスの廃止

脆弱性管理プログラムの整備

No 要件 対応方法
5 すべてのシステムをマルウェアから保護し、ウィルス対策ソフトウェアまたはプログラムを定期的に更新する
  • マルウェア対策ソフトの導入
  • パターンファイルの定期更新
6 安全性の高いシステムとアプリケーションを開発し、保守する
  • 緊急性高のセキュリティパッチは一ヶ月以内に適用
  • 重要な脆弱性情報が公開され次第、脆弱性スキャンを実施
  • 適切で迅速なパッチの適用
  • 適切なソースコードレビューセキュリティ検査を実施
  • ペネトレーションテスト
  • 脆弱性診断
  • アプリケーション診断

強固なアクセス制御手法の導入

No 要件 対応方法
7 カード会員データへのアクセスを、業務上必要な範囲内に制限する
  • 適切なIDを割り当て、個別アカウントにアクセス権を付与
8 システムコンポーネントへのアクセスを確認・許可する
  • ユーザIDとパスワードは異なるものを設定
  • 適切なパスワードを使用する
  • 最低でも3カ月に1度、パスワードを変更
  • 長期間ログインがないユーザーIDを無効化
  • 変更時、直近の過去4回のパスワードと同じ値に設定不可
  • パスワードは6回の試行後にロックアウト
  • アイドル時間15分を経過した場合、セッションを切断
  • 経路の暗号化
9 カード会員データへの物理アクセスを制限する
  • Level 1:
    カード番号を扱わないエリア
    カード認証+光彩認証
  • Level 2:
    カード番号を扱うエリア
    Level1入室+静脈認証
  • Level 3:
    データセンタの機器に接続可能
    Level1入室+Level2入室+静脈認証

ネットワークの定期的な監視およびテスト

No 要件 対応方法
10 ネットワークリソースおよびカード会員データへのすべてのアクセスを追跡および監視する
  • 各種ログを過去1年間分、バックアップサーバに保管
  • 適切な監視ソフトウェアをバックアップサーバとカード会員データを取り扱うサーバに実装
  • 関連プロセスの監視
11 セキュリティシステムおよびプロセスを定期的にテストする
  • 脆弱性検査を実施しCVSS4.0以上の脆弱性が無いことを確認
  • ペネトレーションについてはPCIDSS認定スキャンベンダー(ASV)に検査を依頼
  • 内部脆弱性スキャン(年4回)
  • 外部脆弱性スキャン(年4回)
  • 内部ペネトレーション(年1回)
  • 外部ペネトレーション(年1回)

情報セキュリティーポリシーの整備

No 要件 対応方法
12 すべての担当者の情報セキュリティに対応するポリシーを維持する
  • 情報セキュリティーポリシーを整備、維持

ベリトランスでのPCIDSSへの対応方法について、より具体的な話は下記の記事にて紹介しています。興味のある方はチェックしてみてください。

急がれるPCI DSS準拠、ベリトランスはどう対応したのか。確実かつ効率的なソリューションは?

8.PCIDSS認定取得のプロセスと費用

要件の項目数を限定すれば簡単にも思えるPCI DSS対応ですが、実際には非常に多くの工数が必要です。

PCIDSS準拠までのタスクと流れ

PCIDSS準拠までのタスクと流れ

●1 スコープ調査 - PCI DSS準拠対象範囲の確定
カード会員情報の取り扱い範囲とPCI DSS準拠対応が必要な範囲を確定します。

●2 ギャップ分析
自社のシステムや運用を確認し、PCIDSSの要求項目との「ギャップ分析」を行います。これに基づいて、必要な改善計画を策定します。

●3 改善計画の立案と実装
改善計画に基づいて、システムへの実装や運用の変更を行います。実装後は、改善を確認します。PCISDSSのすべての要件が満たされるように改善します。

●4 テスト実施
「ASVスキャン」や「ペネトレーションテスト」によって脆弱性対応が完了していることをテストします。訪問審査に向けて、規程類や証跡を準備します。

●5 訪問審査
QSAによる訪問審査を受けます。すべての審査にクリアするとPCIDSS準拠が認められます。準拠状態を維持する活動を継続します。

PCIDSS認証取得の費用

一般的には、PCI DSSの初回の認証取得までにかかる費用は小規模でも数千万円~、期間は半年~1年とされています。

PCIDSSの認定取得コスト(初回の場合)

費用 数千万円~
期間 半年~1年

9.まとめ

自社でのPCIDSS対応は現実的ではない

ここまででおわかりのように、PCI DSS認定取得には多くの場合、膨大なコストと時間が必要となるため、クレジットカード加盟店でのPCIDSS準拠はハードルが高く現実的でありません。初回の認証取得後も、継続してPCIDSSに準拠した運用が必要であり、また2年に1度の更新も必要です。

費用面のハードル

  • 初期 数千万円~
  • 運用 月100万円~

運用面のハードル

  • 最新のセキュリティ脆弱性への対応
  • セキュリティ監視、記録、保管
  • システムや業務の運用手順書の遵守
  • 上記に伴う従業員教育
  • 年1回の継続審査
  • 約2年に1回のPCIDSSバージョンアップへの対応

多くの事業者が「カード情報の非保持化」を選択

そこで、多くの事業者が選択しているのは、クレジットカード決済をPCIDSS準拠事業者に委託する方法です。実行計画では、PCIDSS準拠事業者と提携し、「カード情報の非保持化」を行えば、カード情報の保護に対応したとされています。

ベリトランスは2007年からPCIDSSに準拠
~クレジットカードセキュリティのリーダー企業として取り組み

弊社でも決済代行サービスを提供する会社として、日本で初めてPCIDSSに準拠し、以来多くの加盟店さまのクレジットカード情報を預かり「カード情報の非保持化」ソリューションを提供しています。長年に渡って最新のセキュリティ基準に対応を続けています。

ベリトランスのセキュリティ・PCIDSSへの取り組みの歴史

2005年
Pマーク取得(カード番号は個人情報として定義)
2006年
国内企業初のVISA AIS準拠(PCI DSS ver1.0)
2007年
PCI SSC Participating Organizationに加盟
2007年
PCI DSS ver1.1準拠
2009年
PCI SSC PO Japan連絡会 発足メンバーとして参加
2011年
PCI DSS ver2.0準拠
2013年
サービス環境を全面リニューアル(PCI DSSを見据えて)
2014年
ISMS取得(ISO/IEC27001)
2014年
PCI DSS ver3.0準拠
2015年
PCI DSS ver3.1準拠
2016年
PCI DSS ver3.2準拠
2018年
PCI DSS ver.3.2.1準拠

PCIDSS遵守維持宣言

このように準拠が非常に大変なPCIDSSですが、クレジットカードのセキュリティを守り、お客様に安心・安全なサービスを利用いただくために極めて重要なセキュリティ基準です。弊社では、「PCIDSS遵守維持宣言」としてまとめた文章を公表し、全社員で高いセキュリティの維持に取り組んでいます。

PCIDSS遵守維持宣言ーベリトランス株式会社

クレジットカードのセキュリティについて悩みがある場合はぜひご相談ください!

ベリトランス株式会社 - セキュリティに対する取組み
お気軽にお問い合わせ・ご相談ください
決済代行、越境EC、EC総合支援サービスの導入なら決済代行専業会社のベリトランスへ。お急ぎの場合はお電話にてご連絡ください。

03-6367-1510 平日9:00~18:00(土日祝年末年始除く)

  • 資料請求
  • お問い合わせ
  • 試用プログラム