PCI-DSSとは?ECサイトが守るべきクレジットカード業界のセキュリティ基準

「PCI-DSSって最近よく聞くんだけど、いったい何のことなの?」

と思っている方。

利用者がますます増えるとともに、流通額も増えていくこれからのEC業界においては、犯罪者目線でいえば不正アクセスの価値も高まります。そのため、セキュリティの観点では、「PCI-DSS」は避けて通れないトピックです。

PCI-DSSはセキュリティを守るときのガイドラインであり、これを守れば不正アクセスや情報漏えいからECサイトを守る可能性が高まります。

とはいえ、横文字も多く、難しくてわかりにくいですよね。

そこでこの記事では、

  • そもそも「PCI-DSS」とは
  • PCI-DSSの目標6個と要件12個
  • PCI-DSSに対応する3つの方法
  • PCI-DSSのバージョンと主な変更点

の順にPCI-DSSについてお伝えします。

PCI-DSSという言葉だけ見ると難しく感じますが、実は理解するのに必要な要素は多くありません。

まずはこの記事で大まかな概要からおさえていきましょう!

そもそも「PCI-DSS」とは

PCI-DSSを一言で言うならば「クレジットカード業界のセキュリティ基準」です。

以前まではクレジットカード会社ごとに独自のセキュリティプログラムがありました。しかしながら、今や一つのお店で複数のクレジットカードが使えるのは当たり前ですよね。

となると、お店はクレジットカード会社ごとに別々のセキュリティ対策をする必要があり、負担が大きかったのです。

そして、ECサイトをはじめとしたインターネット上での商取引において、クレジットカード情報の漏えいはすぐにでも解決すべき課題でした。

そこで登場したのが「PCI-DSS」です。クレジットカード会社が手を組んで、世界で統一されたセキュリティ対策をすることになりました。

認定を取得することによるメリット

国際的なセキュリティ基準であるPCI-DSSを守ることで、

  • 企業のブランディングにつながる
  • 不正アクセスからユーザー情報を守る
  • ECサイトの改ざん・悪用も防ぐ

というメリットがあります。

デメリットとしては、これまでより運用の負担が増えることがあります。とはいえ、お客さまの情報が漏れてしまうことに比べると、コストは少ないと言えるはずですよね。

PCI-DSSには「6個の目標・12個の要件」がある

PCI-DSSには6個の目標と12個の要件があります。簡単にまとめると

【目標1:安全なネットワークとシステムの構築と維持】

  1. カード会員データを保護するために、ファイアウォールをインストールして維持する
  2. システムパスワードおよびその他のセキュリティパラメータにベンダ提供のデフォルト値を使用しない

【目標2:カード会員データの保護】

  1. 保存されるカード会員データを保護する
  2. オープンな公共ネットワーク経由でカード会員データを伝送する場合、暗号化する

【目標3:脆弱性管理プログラムの整備】

  1. マルウェアにしてすべてのシステムを保護し、ウィルス対策ソフトウェアを定期的に更新する
  2. 安全性の高いシステムとアプリケーションを開発し、保守する

【目標4:強力なアクセス制御手法の導入】

  1. カード会員データへのアクセスを、業務上必要な範囲内に制限する
  2. システムコンポーネントへのアクセスを識別・認証する
  3. カード会員データへの物理アクセスを制限する

【目標5:ネットワークの定期的な監視およびテスト】

  1. ネットワークリソースおよびカード会員データへのすべてのアクセスを追跡および監視する
  2. セキュリティシステムおよびプロセスを定期的にテストする

【目標6:情報セキュリティポリシーの整備】

  1. すべての担当者の情報セキュリティに対応するポリシーを整備する

です。

2017年3月に「クレジット取引セキュリティ対策協議会」が発表した「実行計画2017」によればEC事業者は

  1. カード情報の非保持化
  2. PCI-DSS準拠

のいずれかを2018年3月までにする必要があります。そのため、いまPCI-DSSは注目されている基準なのです。

今年2017年には「PCI DSS対応 実務者セミナー」など、PCI-DSSを理解するための講座が開かれています。セミナーは定期的に開かれているので、気になる方は日本カード情報セキュリティ協会HPをチェックしてみてください。

次は、PCI-DSSに対応する具体的な方法をみていきましょう!

PCI-DSSに対応する3つの方法

PCI-DSSに対応する方法は以下の3つです。

  1. 訪問審査
  2. サイトスキャン 
  3. 自己問診

それぞれ詳しくみていきますね。

1. 訪問審査

PCI国際協議会が定めた、QSA(=Qualified Security Assessor)と呼ばれる審査機関から認証してもらいます。具体的にどんな機関があるのかはPCI国際協議会サイトのQSA一覧からチェックしてみてください。

例えばカードを発行する会社など、大量の情報を扱う事業者に求められている方法です。

2. サイトスキャン

ECサイト運営者は必ずやっておきたいのが、サイトスキャンと呼ばれる方法です。

スキャンツールを使ってWEBサイトのセキュリティを、四半期に1回以上チェックして、サイトセキュリティを定期的に認証してもらいます。具体的な機関はPCI国際協議会サイトのASVの一覧に掲示されています。

3. 自己問診

街のお店など、一般的な加盟店は自己問診によって認証を得ます。

具体的にはPCI-DSSの要求事項に基づいたチェック項目に回答、全てに「Yes」と回答できれば準拠していると認められます。

Ver1.0では、専門用語が多すぎて理解するのが難しい内容でした。しかし、それ以降は専門的な用語がわかる事業者とそうでない事業者で分け、全ての事業者がPCI-DSSを理解できるように作られています。

日本語版も公式サイトのDOCUMENT LIBRARYからダウンロードすることが可能です。2017年11月現在の最新版はver3.2ですね。

まとめると、

  1. 訪問審査
  2. サイトスキャン 
  3. 自己問診

の3つを紹介しました。扱う情報の量によって対応する方法が異なるように見えますが、場合によっては複数の方法を行う必要もあります。

全て自社で対応してノウハウをためるのも1つの手段ですが、外注したほうがスムーズに勧められるでしょう。

PCI-DSSのバージョンと主な変更点を紹介

PCI-DSSは定期的にバージョンアップされています。そのため、

  • ver2.0(v2.0):新しく情報を追加、今までの情報を明確化
  • ver3.0(v3.0):カード情報についての業務を委託するさいの管理方法を追記
  • ver3.1(v3.1):文章の誤りを修正、読みやすくした

など、日々アップデートが繰り返されています。

ECサイト担当者のかたは、公式サイトのDOCUMENT LIBRARYから定期的にチェックする必要がありそうです。

PCI-DSSに準拠した、安全なECサイトを構築しよう

PCI-DSSについて、大まかな概要を紹介しました。

まとめると、そもそもPCI-DSSとは「クレジットカード業界のセキュリティ基準」でした。

クレジットカード会社が手を組んで、世界で統一されたセキュリティ対策を作ろうとしたのがはじまりです。

PCI-DSSを守るメリットは

  • 企業のブランディングにつながる
  • 不正アクセスからユーザー情報を守る
  • ECサイトの改ざん・悪用も防ぐ

で、デメリットとしては運用の負担が増えることでした。

PCI-DSSにおける6つの目標をおさらいすると

【目標1:安全なネットワークとシステムの構築と維持】

【目標2:カード会員データの保護】

【目標3:脆弱性管理プログラムの整備】

【目標4:強力なアクセス制御手法の導入】

【目標5:ネットワークの定期的な監視およびテスト】

【目標6:情報セキュリティポリシーの整備】

でしたね。

そして、PCI-DSSに対応する具体的な方法では

  1. 訪問審査
  2. サイトスキャン 
  3. 自己問診

の3つを紹介しました。

PCI-DSSにしっかり準拠した、安全なECサイトを作っていきましょう!

なお、クレジットカードのセキュリティについてもっと知りたい方は「PCI DSS準拠?カード情報の非保持化?トークン決済とは?クレジットカードのセキュリティ対策にベストチョイス」をご一読ください!

PR:Orange ECならトークン決済に対応しています

加盟店が独自にPCI DSSに準拠しようとすると、審査や導入コスト、ランニングコストなど、非常にハードルが高いものになります。
既にPCI DSSに準拠している決済代行サービス会社のサービスを利用する方がコストも労力も軽減します。

Orange ECでは、トークン決済が可能になる「セキュリティ強化パッケージ」をご提案しています。
ぜひお問合せください。

>>トークン決済とECサイトパッケージの連携についてのお問合せはこちらから

この記事を書いた人
佐々木 ゴウ

大手Sierや、ECコンサルティング会社での経験を活かし、ファッションや食品などの各種商品ジャンルから、バックオフィス、ITインフラ系まで幅広く執筆が可能。webライティングの講師や、メディアコンサルティング、採用系メディアの編集長なども請け負っている。趣味は盆栽。

関連記事

記事に関連するサービス
  • EC Orange
Orange ECの「VRコマース機能」
訪日外国人客が集まる街へ インバウンド地方創生プロジェクト
エスキュービズムニュースレター!
EC用語集
お役立ち資料ダウンロード
ページ上部へ戻る