PCI DSS準拠は必要？クレジットカードを扱う店舗・ECサイトが知っておきたい基礎知識

2021/07/29

PCI DSSは、「PCIデータセキュリティスタンダード(Payment Card Industry Data Security Standard)」の略称で、国際カードブランド5社(American Express、Discover、JCB、MasterCard、VISA)が共同で設立したPCI SSC(Payment Card Industry Security Standards Council)によって運用、管理されています。

クレジットカードのセキュリティを強化推進する政府主導の取り組みである「クレジットカード・セキュリティガイドライン」（旧：クレジットカード取引におけるセキュリティ対策強化に向けた実行計画）が掲げる3本柱、「1.カード情報の漏えい対策」「2.偽装カードによる不正利用対策」「3.ECにおける不正利用対策」のうち、「1.カード情報の漏えい対策」として「PCI DSS準拠」または「カード情報の非保持化」が求められています。

以前は各カードブランドごとにセキュリティリスク管理プログラムがあり、加盟店は導入した各ブランドごとのセキュリティ基準を満たす必要がありました。しかし、ひとつの加盟店で複数ブランドのカードが使える仕組み(マルチアクワイヤリング)が普及する中で、セキュリティ対応コストが大きな課題となり、統一のセキュリティ対策基準として「PCI DSS」が設定されました。

PCI DSS認定取得には多くの場合、膨大なコストと時間が必要となるため、クレジットカード加盟店でのPCI DSS準拠はハードルが高く現実的ではありません。初回の認証取得後も、継続してPCI DSSに準拠した運用を行う必要があり、また2年に1度の更新が発生します。

そこで、多くの事業者が選択しているのは、クレジットカード決済をPCI DSS準拠事業者に委託する方法です。実行計画では、PCI DSS準拠事業者と提携し、「カード情報の非保持化」を行えば、カード情報の保護に対応したとされています。

非保持化について詳しく知りたいという事業者様は、下記のコラムをご覧ください。

カード情報を「保存、処理、または伝送する」企業であるカード加盟店、銀行、決済代行などを行うサービス・プロバイダーは、年間のカード取引量に応じてPCI DSSに準拠する必要があります。

金融業：

クレジットカード会社、クレジットカード発行金融機関

流通業：

大手百貨店、スーパー、量販店、鉄道、航空会社

通信/メディア/公共：

携帯電話会社、通信会社、ユーティリティ、新聞

製造業：

石油業界 他

PCI DSS のセキュリティ要件は、カード会員データ環境に含まれる、または接続されるすべてのシステムコンポーネントに適用されます。カード会員データ環境（CDE）は、カード会員データまたは機密認証データを保存、処理、または送信する人、処理、およびテクノロジーで構成されます。「システムコンポーネント」には、ネットワークデバイス、サーバー、コンピューター、アプリケーションが含まれます。（以下略）

PCI DSSでは上記のように定義されています。難解ですが、おおまかには下記になります。

自社のシステムだけでなく、委託先の業務やシステムも含まれることがあります。

PCI DSSでは、クレジットカード情報を安全に取り扱うために、6つの目標とそれに対応する12の要件のもと、具体的な約400項目もの要求基準が定められています。

安全なネットワークの環境と維持
要件1	カード会員データを保護するために、ファイアウォールをインストールして構成を維持する
要件2	システムパスワードおよび他のセキュリティパラメータにベンダ提供のデフォルト値を使用しない
カード会員データの保護
要件3	保存されるカード会員データを保護する
要件4	オープンな公共ネットワーク経由でカード会員データを伝送する場合、暗号化する
脆弱性管理プログラムの整備
要件5	すべてのシステムをマルウェアから保護し、ウィルス対策ソフトウェアまたはプログラムを定期的に更新する
要件6	安全性の高いシステムとアプリケーションを開発し、保守する
強力なアクセス制御手法の導入
要件7	カード会員データへのアクセスを、業務上必要な範囲内に制限する
要件8	システムコンポーネントへのアクセスを確認・許可する
要件9	カード会員データへの物理アクセスを制限する
ネットワークの定期的な監視およびテスト
要件10	ネットワークリソースおよびカード会員データへのすべてのアクセスを追跡および監視する
要件11	セキュリティシステムおよびプロセスを定期的にテストする
情報セキュリティポリシーの整備
要件12	すべての担当者の情報セキュリティに対応するポリシーを維持する

PCI DSSの認定取得方法は、カード情報の取扱い形態や規模によって、3つの方法があります。いずれか1つの適用というわけでなく、カード情報の取扱い規模や事業形態によって、複数を実施する必要があります。

認定された審査機関(QSA=Qualified Security Assessor)による訪問審査を受けて、認証を取得します。カード発行会社など、クレジットカード情報の取扱い件数・金額が大きな事業者に、要請されている方法です。

WEBサイトから侵入されて、情報を盗み取られることがないか、PCI国際協議会によって認定されたベンダー(ASV=Approved Scanning Vendor) のスキャンツールによって、四半期に1回以上の点検を受けて、サイトに脆弱性のないことの認証を得ます。カード情報の取扱いが中規模、およびインターネットに接続している事業者には必須の方法です。

自己問診とはセルフチェックです。チェックリストにそってPCI DSSの要求事項を確認し、すべて「Yes」であれば「PCI DSSに準拠している」と認められます。カード情報取扱い件数の比較的少ない一般加盟店などの事業者向けの方法です。

取り扱うクレジットカードブランド(VISA, MASTERなど)と、クレジットカード決済の取り扱い件数(年100万件未満, 2万件未満など)によって、PCI DSSにどのレベルで準拠する必要があるかは異なります。一例としてVISAの分類を紹介します。

	レベル1	レベル2	レベル3	レベル4
年間決済取扱件数	～2万件	2万件～ 100万件	100万件～ 600万件	600万件～
自己問診票(SAQ)	必須	必須	必須
四半期ごとに、ASVによる外部ネットワークの脆弱性スキャン		必須	必須	必須
四半期ごとに、ASVによる内部ネットワークの脆弱性スキャン			必須	必須
ネットワーク層とアプリケーション層への内部・外部ペネトレーションテスト			必須	必須
QSAによる訪問審査			推奨	必須

※サービズプロバイダーは、年30万件以上でレベル1、年30万件未満でレベル2への対応が必要

年間のクレジットカード決済件数が2万件未満であれば「自己問診票(SAQ)」のみでPCI DSSに準拠できます。取り扱い件数が増え、2万件～100万件になると「自己問診票(SAQ)」に加え、「外部ネットワークの脆弱性スキャン」が必要になります。取り扱い件数がさらに増えれば、PCI DSS準拠に必要な条件は厳しくなります。

自己問診のチェック項目は約400もありますが、条件によっては最小22項目まで減らすことができます。全てのカード決済処理を外部委託するリンク型のクレジットカード決済を利用しているECサイトなどが該当し、「SAQ A」タイプと呼ばれます。

加盟店の業態	カード情報の取扱い形態	求められる PCI DSS SAQ タイプ	準拠 項目数 (付録含)
非対面EC／通信販売加盟店
PSP のリンク（リダイレクト)型の決済サービスを使用するEC 加盟店 カード情報の全ての処理を外部委託する EC/通信販売加盟店	EC または通信販売の加盟店でカード情報をシステムまたは加盟店内で電子形式で通過、処理、保存しない	SAQ A	22
PSP の JavaScript 型の決済サービスを使用する EC加盟店	EC の決済を PCI DSS 準拠済みのサービスプロバイダーに部分的に委託している EC の加盟店でカード情報をシステムまたは加盟店内で電子形式で通過、処理、保存しない	SAQ A-EP	193
対面／通信販売加盟店　※EC加盟店には適用されない
CCT などの決済端末をダイアルアップ接続する主に対面加盟店	インプリンタ、スタンドアロン型のダイアルアップの決済端末のみによってカード情報を処理する加盟店であり、カード情報を保存していない	SAQ B	41
CCT などの決済端末を IP接続する主に対面加盟店	決済ネットワークまたは ASP/クラウド事業者に IP 接続されるスタンドアロン型の PCI PTS 認定の決済端末のみによってカード情報を処理する加盟店であり、カード情報を保存していない	SAQ B-IP	88
POS をインターネットに接続してカード処理する主に POS 加盟店	POS システムまたはその他のインターネットに接続されているペイメントアプリケーション経由でカード情報を処理するが、カード情報をコンピュータシステムに保存しない加盟店	SAQ C	162
電話やハガキ/FAX でカード処理する主に通信販売加盟店	Web ブラウザなどの仮装端末のみでインターネットを経由して、1件ずつカード情報を処理し、カード情報をコンピュータシステムに保存し ない。決済に利用する Web アプリケーションは PSP、アクワイアラーなどサードパーティから提供される必要がある	SAQ C-VT	85
PCI P2PE ソリューションを導入した主に POS 加盟店	PCI P2PE に認定されたソリューションを導入し、それらに含まれる決済端末のみでカード情報を処理する加盟店であり、カード情報を保存していない	SAQ P2PE	33
対面/非対面加盟店
PSP のモジュール(プロトコル)型を使用する EC 加盟店 カード情報をサーバーや PC で保存する POS や通信販売加盟店 カード情報を POS システムで通過、処理、保存する加盟店	カード情報を自社のサーバーで処理する加盟店 カード情報を電子形式で保存する加盟店 カード情報を電子形式で保存しないが他の SAQ タイプの基準を満たさない加盟店 他の SAQ タイプを満たす環境にあるが、自社の環境に他の PCI DSS 要件が適用されるような加盟店	SAQ D Marchant	331

PCI DSSの要件に対するDGフィナンシャルテクノロジー（DGFT、旧ベリトランス）での対応方法を紹介します。非常に専門的な内容になるので、全て読む必要はありません。ざっと目を通して「専門的で手間のかかる項目が多数ある」ということをご認識ください。

安全なネットワークの環境と維持

No	要件	対応方法
1	カード会員データを保護するために、ファイアウォールをインストールして構成を維持する	セグメントごとに適切なファイアウォールを設置 適切なセグメント分割とサーバ間通信の制限 適切な外部通信の実装とポート制限 適切なACL(アクセス制御リスト)設定 定期的な設定確認
2	システムパスワードおよび他のセキュリティパラメータにベンダ提供のデフォルト値を使用しない	適切なセキュリティ設定 適切なサーバ構築 ワイヤレス接続禁止 4半期に一度の無線APスキャン

カード会員データの保護

No	要件	対応方法
3	保存されるカード会員データを保護する	データベース、およびバックアップデータを適切に暗号化 定期的な暗号化キーの交換に対応 保存不可データの有無を確認
4	オープンな公共ネットワーク経由でカード会員データを伝送する場合、暗号化する	インターネット経由の全サービスデータの暗号化 脆弱なプロトコル、サービスの廃止

脆弱性管理プログラムの整備

No	要件	対応方法
5	すべてのシステムをマルウェアから保護し、ウィルス対策ソフトウェアまたはプログラムを定期的に更新する	マルウェア対策ソフトの導入 パターンファイルの定期更新
6	安全性の高いシステムとアプリケーションを開発し、保守する	緊急性高のセキュリティパッチは一ヶ月以内に適用 重要な脆弱性情報が公開され次第、脆弱性スキャンを実施 適切で迅速なパッチの適用 適切なソースコードレビューセキュリティ検査を実施 ペネトレーションテスト 脆弱性診断 アプリケーション診断

強固なアクセス制御手法の導入

No	要件	対応方法
7	カード会員データへのアクセスを、業務上必要な範囲内に制限する	適切なIDを割り当て、個別アカウントにアクセス権を付与
8	システムコンポーネントへのアクセスを確認・許可する	ユーザIDとパスワードは異なるものを設定 適切なパスワードを使用する 最低でも3カ月に1度、パスワードを変更 長期間ログインがないユーザーIDを無効化 変更時、直近の過去4回のパスワードと同じ値に設定不可 パスワードは6回の試行後にロックアウト アイドル時間15分を経過した場合、セッションを切断 経路の暗号化
9	カード会員データへの物理アクセスを制限する	Level 1： カード番号を扱わないエリア カード認証＋光彩認証 Level 2： カード番号を扱うエリア Level1入室＋静脈認証 Level 3： データセンタの機器に接続可能 Level1入室＋Level2入室＋静脈認証

ネットワークの定期的な監視およびテスト

No	要件	対応方法
10	ネットワークリソースおよびカード会員データへのすべてのアクセスを追跡および監視する	各種ログを過去1年間分、バックアップサーバに保管 適切な監視ソフトウェアをバックアップサーバとカード会員データを取り扱うサーバに実装 関連プロセスの監視
11	セキュリティシステムおよびプロセスを定期的にテストする	脆弱性検査を実施しCVSS4.0以上の脆弱性が無いことを確認 ペネトレーションについてはPCIDSS認定スキャンベンダー(ASV)に検査を依頼 内部脆弱性スキャン（年4回） 外部脆弱性スキャン（年4回） 内部ペネトレーション（年1回） 外部ペネトレーション（年1回）

情報セキュリティーポリシーの整備

No	要件	対応方法
12	すべての担当者の情報セキュリティに対応するポリシーを維持する	情報セキュリティーポリシーを整備、維持

DGフィナンシャルテクノロジーでのPCI DSSへの対応方法について、より具体的な話は下記の記事にて紹介しています。興味のある方はチェックしてみてください。

急がれるPCI DSS準拠、ベリトランス（現：DGFT）はどう対応したのか。確実かつ効率的なソリューションは？

要件の項目数を限定すれば簡単にも思えるPCI DSS対応ですが、実際には非常に多くの工数が必要です。

PCIDSS準拠までのタスクと流れ

1 スコープ調査 - PCI DSS準拠対象範囲の確定
カード会員情報の取り扱い範囲とPCI DSS準拠対応が必要な範囲を確定します。

2 ギャップ分析
自社のシステムや運用を確認し、PCIDSSの要求項目との「ギャップ分析」を行います。これに基づいて、必要な改善計画を策定します。

3 改善計画の立案と実装
改善計画に基づいて、システムへの実装や運用の変更を行います。実装後は、改善を確認します。PCI DSSのすべての要件が満たされるように改善します。

4 テスト実施
「ASVスキャン」や「ペネトレーションテスト」によって脆弱性対応が完了していることをテストします。訪問審査に向けて、規程類や証跡を準備します。

5 訪問審査
QSAによる訪問審査を受けます。すべての審査にクリアするとPCIDSS準拠が認められます。準拠状態を維持する活動を継続します。

一般的には、PCI DSSの初回の認証取得までにかかる費用は小規模でも数千万円～、期間は半年～1年とされています。

DGフィナンシャルテクノロジー（DGFT、旧ベリトランス）は、決済代行サービスを提供する会社として日本で初めてPCI DSSに準拠し、以来多くの加盟店さまのクレジットカード情報を預かり「カード情報の非保持化」ソリューションを提供しています。長年に渡って最新のセキュリティ基準への対応を続けています。

このように準拠が非常に大変なPCI DSSですが、クレジットカードのセキュリティを守り、お客様に安心・安全なサービスを利用いただくために極めて重要なセキュリティ基準です。DGフィナンシャルテクノロジー（DGFT、旧ベリトランス）では、「PCI DSS遵守維持宣言」としてまとめた文章を公表し、全社員で高いセキュリティの維持に取り組んでいます。

DGフィナンシャルテクノロジー（DGFT、旧ベリトランス）の提供する決済システム「VeriTrans4G」のクレジットカード決済は、事業者様でクレジットカード情報を取り扱う必要のない、非保持・非通過化に完全対応。国際セキュリティ基準「PCI DSS」に完全準拠した万全のシステムで、情報漏えいリスクを軽減します。

また、不正利用防止のため、3Dセキュア、セキュリティコード認証、不正検知ソリューションなど多彩なセキュリティオプションも提供。手間やコストを抑えて「クレジットカード・セキュリティガイドライン」の求めるセキュリティ基準に対応可能です。

これからクレジットカード決済システムを導入したい、現在の決済システムのセキュリティに不安がある、という事業者様はぜひお気軽にご相談ください。

公開日　2019/04/03、最終更新日　2021/07/29