PCI DSS

PCI DSS（Payment Card Industry Data Security Standard = 支払カード産業データセキュリティ規格）は、 クレジットカード情報および取り引き情報を保護するために2004年12月、JCB・American Express・Discover・マスターカード・VISAの国際ペイメントブランド5社が共同で策定した、クレジット業界におけるグローバルセキュリティ基準である。 2022年3月に最新版であるv4.0が発表された。2024年3月末までは、v3.2.1とv4.0がともに有効であるが、2024年3月末にv3.2.1は引退し、v4.0のみが有効な基準となる。^[1]

上記5社がPCI SSC (Payment Card Industry Security Standards Council)を設立し、PCI関連基準の策定・維持、評価手順の確立、認定審査会社の教育・試験等を実施している。

PCI DSSはカード会員情報を格納、処理、又は伝送するすべてのメンバー機関、加盟店、サービスプロバイダに対して適用するとされており、その内、カード取扱件数が多い事業者はPCI SSCが認定する審査会社による準拠性確認が必要とされている。

PCI SSCによって認定される機関の一部を下記に記載する。

• QSA(Qualified Security Assessor): 訪問審査を行い、PCIDSSの順守状況を確認・判定する。
• ASV(Approved Scanning Vendors): PCIDSS要件11.2に規定される、脆弱性スキャンサービスを提供するベンダー。
• PFI(PCI Forensic Investigator): PCIDSS要件に規定されるフォレンジック調査を行う認定団体。

PCI DSS（バージョン3.2）には、カード会員データおよび取り引き情報を保護するための12要件が規定されている^[2]。

1. ネットワークとシステムの安全な構成
2. システムのデフォルトパスワードの変更
3. 保有するカードデータの保護
4. 送信するカードデータの暗号化
5. システムとウイルス対策のアップデート
6. 安全なシステムの開発と保守
7. カードデータの利用目的の制限
8. システムへのアクセス制限
9. カードデータへのアクセス制限
10. システムやカードデータへのアクセスログ監視
11. システムと手順の定期的な確認
12. 担当者の情報セキュリティ方針の徹底

クレジットカード、デビットカード、プリペイドカードに代表されるカード決済は、その利便性により、店舗やウェブ決済での使用比率が増えていき、膨大なカード情報の管理が必要となった。それに伴い、カード決済に関わるシステムやネットワークのセキュリティが侵害されることによる、カード利用者、決済店舗、カード発行会社が損害を受ける事態が広がっていった。主要カード会社は、独自のセキュリティ対応策を開発し加盟店へ順守を促したが、カード会社それぞれが独自に指示をしたため対応がまとまらず大きな成果はでなかった。その後、増大するセキュリティリスクへの懸念を払拭するため、2004年12月に主要カード会社が共同で PCIデータセキュリティスタンダードをリリース、2006年に PCI SSC を設立した^[3][4]。

1. ^ “PCI DSS Version 4.0における変更点のポイント　第一回　～移行スケジュールと主な変更点の概要～”. 2023年7月13日閲覧。
2. ^ PCI DSS バージョン3.2.1 P.5
3. ^ Liu, Jing; Xiao, Yang; Chen, Hui; Ozdemir, Suat; Dodle, Srinivas; Singh, Vikas (2010). “A Survey of Payment Card Industry Data Security Standard”. IEEE Communications Surveys & Tutorials 12 (3): 287. doi:10.1109/SURV.2010.031810.00083. 
4. ^ 日本カード情報セキュリティ協議会 (JCDSC). “PCI DSSとは”. 2021年2月12日閲覧。

• 情報セキュリティマネジメントシステム (ISMS)
• プライバシーマーク

• Payment Card Industry Security Standards Council
• 日本カード情報セキュリティ協議会
• Visa Asia Pacific
• JCB
• BSIグループジャパン（英国規格協会）
• PCI DSS v4.0 Resource Hub