COMWARE PLUS プラス・サムシングを大切なお客さまへ

セキュリティーQ&A
セキュリティーQ&A
ポスト
        
        

回答サマリー

クレジットカード業界のセキュリティー基準を満たすことで、リスクを低減できる

PCI DSSは、国際カードブランド5社により策定されたセキュリティー基準です。クレジットカード加盟店や決済を代行するサービスプロバイダーが、カード会員のデータを安全に取り扱うことを目的としており、加盟店では遅くとも2020年3月までに準拠するよう求められています。 PCI DSSでは、セキュリティー要件が定められており、これらの要件を満たしたことを審査により認められれば認証が得られます。PCI DSSに準拠、つまり業界が定めたセキュリティー基準を満たすことでリスクを低減することができます。

回答詳細

カード情報流出などの危険から、カードの利用者を守るために策定された基準

日本のクレジットカード保有率は87%で、クレジットカード保有者一人あたりの平均保有枚数は3.2枚といわれています(2015年、JCB「クレジットカードに関する総合調査 2015年度版 調査結果レポート」より)。クレジットカードは公共料金の支払いに使用できるのはもちろん、インターネット上のサービスを利用したり、ショッピングを利用するにあたり、なくてはならない存在になっています。その反面で、紛失や盗難、店舗などでカード情報を引き抜かれるスキミング、サイバー攻撃などによる情報流出など、クレジットカードは多くの犯罪の標的になっています。

こうした危険から利用者を守るために、クレジットカード加盟店や決済を代行するサービスプロバイダーなどに対してカード会員の情報を安全に取り扱うことを目的に策定されたセキュリティー基準が「PCI DSS(Payment Card Industry Data Security Standard)」です。国際カードブランド5社(American Express、Discover、JCB、MasterCard、VISA)が2006年に共同で設立した「PCI SSC(Payment Card Industry Security Standards Council)」によって運用、管理されています。

PCI DSSは、クレジットカードの会員情報を取り扱う際に、均一的なセキュリティー対策を講じることができるようベースラインとして策定されたものです。カード会社、決済代行会社、サービスプロバイダーなど、クレジットカード情報を保存、処理、送信するすべての事業者に対して適用されます。

28_img01.gif

準拠認定の取得には、認定審査機関「QSA(Qualified Security Assessor)」が実施する「訪問審査」、インターネットに接続している事業者などに対し、脆弱性を定期的に認定ベンダーがチェックする「サイトスキャン」、チェック項目へ回答する「自己問診」の3種類の方法があります。

認定の条件は、取り扱う形態や規模によって条件は異なります。比較的、カード情報の取り扱い件数が少ない加盟店などは「自己問診」で対応できる場合もある一方で、複数の方法で審査する場合もあります。

PCI DSSの具体的な内容

セキュリティー基準は日本を含め世界に複数存在し、それぞれに特徴があります。例えば、ISOが策定した情報セキュリティーマネジメントに関する国際的な標準規格「ISO 27001(ISMS)」は、「計画(Plan)」「実行(Do)」「チェック(Check)」「改善(Act)」によるいわゆる「PDCAサイクル」に沿って、マネジメント視点でセキュリティーを確保、維持することが特徴です。米国のSANS Instituteが策定した、セキュリティー対策のガイドライン「SANS 20 CRITICAL SECURITY CONTROLS」は、最先端の攻撃から組織を守る技術対策に特化した内容となっています。

このような他のセキュリティー基準と比較すると、PCI DSSはより具体的なセキュリティーの実装を求めている点が特徴的です。情報保護に向けて6種類の統制目標と、それに関する「12のデータセキュリティー要件 」を定めています。具体的には以下のようになります。要件ごとにさらに細かい要件が定められています。

28_img02.gif

次ページ PCI DSSに準拠する意義

ポスト

事例紹介

スマートフォン用リンク

エバンジェリストが語るICTの未来

スマートフォン用リンク

ページトップへ

トップへ