PCI DSSとは、クレジットカード会員データを安全に取り扱う事を目的として策定された、クレジットカード業界の国際セキュリティ基準です。カード情報を扱う企業は、PCI DSSの要件を満たすことによってセキュリティを強化することができます。今回の記事では、カード情報をめぐる実際のインシデント事例に触れた上で、PCI DSSの12の対応要件や準拠のメリット(副次的効果)、認定取得の方法などについてわかりやすく解説します。準拠が必要な事業体の具体例や、実際に準拠に至るまでの流れについても紹介するので、「PCI DSSに準拠すべきかわからない」、「準拠したいがどう進めればいいのかわからない」といったお悩みをお持ちの方々の参考になれば幸いです。
– 2022年に報じられたカード情報漏洩事例
①安全なネットワークとシステムの構築と維持
②アカウントデータの保護
③脆弱性管理プログラムの維持
④強固なアクセス制御の実施
⑤ネットワークの定期的な監視とテスト
⑥情報セキュリティポリシーの維持
PCI DSSとは?
PCI DSSの概要
読み方と概要
PCI DSS(ピーシーアイ・ディーエスエス/Payment Card Industry Data Security Standard)とは、加盟店やサービスプロバイダ(※)において、クレジットカード会員データを安全に取り扱う事を目的として策定された、クレジットカード業界のセキュリティ基準です。安全なネットワークの構築やカード会員データの保護など、12の要件に基づいて約460の要求事項から構成されています。
PCI DSSは、国際カードブランド6社(American Express、Discover、JCB、MasterCard、VISA、銀聯[ユニオンペイ・インターナショナル])から成る組織「PCI SSC(Payment Card Industry Security Standards Council)」によって運用・管理されています。
要件書の現行バージョンは「バージョン3.2.1(v3.2.1)」ですが、2024年4月1日以降は最新版である「バージョン4.0(v4.0、こちらのページより日本語版をダウンロード可能)」への対応が必要になります。
※「加盟店」とはクレジットカードが使用できる店舗のことを、「サービスプロバイダ」とはカードビジネスを提供する事業者のことをいいます。
バージョン4.0への移行期間と主な変更ポイント
2022年3月、PCI DSSの最新版であるv4.0(英語版)が発表され、2022年5月には日本語版が公開されました。現行のv3.2.1は2024年3月31日まで有効ですが、それ以降はv4.0への対応が必要となります。つまり、現時点でv3.2.1に準拠している企業は2024年の3月末までにv4.0への更新を行わねばなりません。一方で、2023年以降に新規にPCI DSSへ準拠しようとしている企業については、翌年にはv4.0への対応が必須となることを踏まえると、最初からv4.0での準拠を目指すことが推奨されます。
v4.0ではどのような変更がなされているのでしょうか?以下が主なポイントです。
新たな64の要件が追加
v4.0では、新たに64の要件が追加されました。なお、このうちアセスメントへ即時適用されるのは13件のみで、残りの51件は2025年3月31日以降に要件化されるため、それまでは「ベストプラクティス」として扱われます。v4.0への更新にあたっては、これら新要件への対応に加え、既存の要件を見直すことも必要です。
「カスタマイズアプローチ」の導入
PCI DSSを実装・検証するための方法として、これまでの「定義されたアプローチ」(基準内で定義された要件とテスト手順を使用する方法)に加え、「カスタマイズアプローチ」が追加されました。カスタマイズアプローチは、定義された要件とは厳密には異なる方法を利用して、要件の目的を満たすためのコントロールを実装・検証するアプローチです。
なお、準拠の方法として自己問診(SAQ)を利用する企業はカスタマイズアプローチを使用できません。
※その他、変更点の詳しい概要は、「Payment Card Industry データセキュリティ基準 変更点のまとめ、PCI DSS のバージョン 3.2.1 から 4.0」という資料(こちらのページよりダウンロード可能)にまとめられています。
クレジットカード情報をめぐる脅威
PCI DSSが策定された背景には、インターネットの普及およびネット決済の普及とともに、大規模なクレジットカード被害も世界規模で発生し始め、ICカードによるカード偽造防止や対面取引における暗証番号での本人確認といった従来の対策だけでは不十分になってしまったという事情がありました。
では、そうしたクレジットカード被害はどのような脅威によって引き起こされるのでしょうか?以下に主要なものをいくつか挙げています。
・スキミング
「スキマー」というツールを使ってカード情報を盗み取る行為のことです。スキマーが設置される場所として一般的なのは、加盟店のクレジット決済用端末や、ATMのカード挿入口などです。
・webスキミング/Eスキミング
実店舗やATMではなく、ネット上のEコマースサイトにスキマー(webスキマー)が設置され、情報が抜き取られる被害も起きています。このような攻撃は、「Magecart攻撃(デジタルスキミング)」とも呼ばれます。
・システムの脆弱性をついたサイバー攻撃
ECサイトなどのシステムに脆弱性が存在すると、それを利用した攻撃者からシステムへ不正に侵入される場合があります。そうなると、カード情報が保存されたデータベースにアクセスされて情報が盗まれたり、カード情報入力フォームなどが改ざんされて顧客が入力した情報が抜き取られたりする恐れがあります。
・フィッシング
有名企業などを装って支払いを請求するような内容のメールを消費者に送り、カード情報を入力するよう誘導して情報を騙し取るという行為です。消費者だけでなく、企業の従業員が標的になり、企業システムの認証情報などが騙し取られ、システムへの不正アクセスに利用されるケースもあります。
・クレジットマスター
クレジットカード番号自体は盗まず、他人のクレジットカード番号から確率的に狙ったカードの番号を割り出す手法のことを言います。
日本企業における近年のカード情報漏洩事例
ではここで、参考までに、日本企業で実際に発生したカード情報漏洩事例をいくつかご紹介します。クレジットカード情報の価値の高さゆえ、漏洩事件などが起きると企業の経営やブランドが揺るがされかねません。以下の事例の中でも、漏洩によりサイトが閉鎖に追い込まれたり、社長が辞任する事態に至ったりするケースがありました。こういった点を踏まえても、カード情報を扱う企業にとって強固なセキュリティ体制を構築・維持することは非常に重要であると言えます。
(表)2022年に報じられたカード情報漏洩事例
公表月 | 概要 |
10月 | 株式会社ショーケースが提供する入力フォームサービス「フォームアシスト」、「サイト・パーソナライザ」、「スマートフォン・コンバータ」に第三者が不正アクセスし、ソースコードを書き換えた。これにより、同サービスを利用する企業(エービーシー・マートやユーキャン、出光クレジットなど)のWebサイトにおいて入力された情報(カード情報含む)が漏洩した可能性がある。 |
9月 | アクセサリーを扱う「CASUCAオンラインショップ」に第三者がシステムの脆弱性をついて不正アクセスし、ペイメントアプリケーションを改ざん。2021年6月8日~2021年10月31日の期間に317名分のカード情報が漏洩し、一部が不正利用された可能性がある。 |
9月 | オンラインユニフォーム専門店「ユニフォームタウン」に第三者がシステムの脆弱性をついて不正アクセスし、ペイメントアプリケーションを改ざん。2020年10月9日~2022年3月7日の期間中に同サイトで決済した顧客63,565名分のカード情報が漏洩し、一部が不正利用された可能性がある。 |
9月 | 「中村食肉ショッピングサイト」に第三者がシステムの脆弱性をついて不正アクセスし、ペイメントアプリケーションを改ざん。2021年5月10日~2021年6月6日の期間中に同サイトで決済した顧客94人分のカード情報が漏洩し、一部が不正利用された可能性がある。 |
8月 | スケートボード販売のECショップ「ストークスケートリテイル」に第三者が不正アクセスし、ペイメントアプリケーションを改ざん。2021年5月10日~2022年3月18日の期間に同サイトで決済した顧客731人分のカード情報が漏洩した可能性がある。 |
8月 | ブランド古着通販サイト「ベクトルパーク」に第三者がシステムの脆弱性をついて不正アクセスし、ペイメントアプリケーションを改ざん。2020年4月27日~2021年12月22日の期間中に同サイトで決済した顧客のカード情報18,136件分が漏洩し、一部が不正利用された可能性がある。 |
8月 | 美容品を販売する「Parisienne Lash Lift オンラインショップ」に第三者がシステムの脆弱性をついて不正アクセスし、ペイメントアプリケーションを改ざん。2021年3月8日~2021年10月19日の期間に同サイトで決済した顧客3,909人分のカード情報が漏洩し、一部が不正利用された可能性がある。 |
8月 | オンライン通販サイト「DIY FACTORY Business」にて、偽のクレジットカード情報入力ページに意図的に誘導する手口によって、2022年4月12日~2022年4月14日に同サイトで決済した顧客122人分のカード情報が不正に取得された可能性がある。原因は不正アクセスによるペイメントアプリケーションの改ざん。なお、同サイトのサービスは終了している。 |
7月 | 「インフィニット WEB SHOP」に第三者がシステムの脆弱性をついて不正アクセスし、ペイメントアプリケーションを改ざん。クレジットカード情報(2,218件)および個人情報(2,959件)が漏洩した可能性がある。同サイトは閉鎖され、再開の見込みなし。 |
5月 | 和菓子販売を行う「宗家源吉兆庵オンラインショップ」に第三者がシステムの脆弱性をついて不正アクセスし、ペイメントアプリケーションを改ざん。2021年2月4日~2022年1月31日の期間に同サイトで決済した顧客14,127人分のカード情報が漏洩し、一部が不正利用された可能性がある。 |
3月 | 「BIRDS’ WORDSオンラインストア」に第三者がシステムの脆弱性をついて不正アクセスし、ペイメントアプリケーションを改ざん。2021年4月25日~2021年10月31日の期間に同サイトで購入した顧客のカード情報2,763件が漏洩した可能性がある。 |
1月 | メタップスペイメントが運営するクレジットカード決済サービスにおいて、同社の決済センター内にある一部アプリケーションに潜在していた脆弱性を侵入経路として、決済情報等が格納されている3つのデータベースに第三者が不正アクセス。個人情報を含む情報が流出し、クレジットカードが不正利用される事態に発展。8月には本件を受け社長が辞任、役員数人が役員報酬を一部返納。 |
(各社公式発表資料などを参考に作成、情報源一覧はページ下部に記載)
準拠が必要な事業体
では次に、PCI DSSへの準拠が必要な事業体について説明します。なお、「準拠」とは、一般的にはPCI DSSに規定される要求事項のうち、該当するすべて(ただし、その事業体に該当しない要件/準拠対象外とした項目を除く)に対応できている状態のことを指します。なお、一部のみに対応できている状態は「部分準拠」と表現されます。
PCI DSSの対象となる事業体
PCI DSSは、アカウントデータ(※)を保存、処理、または伝送するすべての事業体と、カード会員データ環境(CDE)のセキュリティに影響を与える可能性のあるすべての事業体を対象としています。
※アカウントデータとは、カード会員データと機密認証データを合わせたものを指します。カード会員データと機密認証データについては、以下の表をご覧ください。
アカウントデータ | |
カード会員データ | 機密認証データ |
• プライマリアカウント番号(PAN) • カード会員名 • 有効期限 • サービスコード | • フルトラックデータ(磁気ストライプデータまたはチップ上の同等のデータ) • カード検証コード(セキュリティコード) • PIN/PIN ブロック |
(「Payment Card Industry データセキュリティ基準 v4.0」を参考に作成)
準拠が必要な企業の例
もう少しわかりやすくお伝えすると、以下のいずれかに当てはまる企業にはPCI DSSへの準拠が求められます。なお、いずれも前提として各カードブランドが制定しているセキュリティ基準プログラムに準拠する必要があります。
・カード情報を「保存、処理、または伝送する」企業(加盟店)
・イシュア(カードを発行する企業)
・アクワイアラ(加盟店と契約し、加盟店が適正な取引を行うように管理する役割や、加盟店に対し滞りなく代金を支払う役割などを果たす事業体)
・サービスプロバイダ(銀行や決済代行を行う企業など)
💡業界別の具体例
✔️金融:クレジットカード会社(プリペイド含む)、銀行等のクレジットカード発行金融機関
✔️流通、小売り: 大手百貨店、スーパー、コンビニ、量販店、鉄道、航空会社
✔️通信:携帯電話会社、通信会社、ISP
✔️製造:ガソリンスタンド等の石油業界
✔️その他:クラウドサービス事業者、ECサイト、決済代行業、QR決済、など
準拠しないとどうなる?PCI DSSの法的側面
PCI DSSはセキュリティ基準であり、これ自体に法的拘束力があるわけではありません。ただ、PCI DSSへの準拠(またはカード情報の非保持化)は、クレジット取引セキュリティ対策協議会(事務局:一般社団法人日本クレジット協会)が取りまとめた「クレジットカード・セキュリティガイドライン」で要求されている事項である、という点に注意が必要です。この点に関して、まずは同ガイドラインの法的位置付けについて説明します。
そもそもクレジットカードを規制しているのは、「割賦販売法」という法律です。この法律では、カード番号等の適切な管理と不正利用防止措置の実施が義務付けられています。そして、これらの措置の実務上の指針として位置付けられているのが、「クレジットカード・セキュリティガイドライン」です。このガイドラインでは、カード情報保護と不正利用防止のため、クレジットカード取引の関係事業者が講じるべきセキュリティ対策が定められているほか、その対策を有効に機能させるために取組むべき事項が記載されています。
企業は、本ガイドラインで示されている措置、またはそれと同等以上の措置を適切に講じている場合、法令上の基準となる「必要かつ適切な措置」を満たしていると認められます。逆にいえば、ガイドラインで示された措置を適切に講じない場合、法令上の義務を満たしていないとみなされる恐れがあるということです。つまり、本ガイドラインにて要求されるPCI DSSへの準拠またはカード情報の非保持化に従わない企業は、割賦販売法に違反してしまう場合があります。
「クレジットカード・セキュリティガイドライン(3.0版)」が要求するクレジットカード情報保護対策
・加盟店におけるクレジットカード情報の「非保持化」(カード情報を保持する場合はPCI DSS準拠)に加え、脆弱性対策、ウイルス対策、管理者権限の管理、デバイス管理等の漏えい防止対策の実施
・カード会社、決済代行会社、ECモール事業者、コード決済事業者、ECシステム提供会社等の「PCI DSS準拠」
・加盟店でのPIN(暗証番号)入力のスキップ機能の廃止(2025年3月までに実施)
(参考:経済産業省のページ「クレジットカード・セキュリティガイドライン【3.0版】が取りまとめられました」)
クレジットカード情報の非保持化とは?
では、先ほどから登場している「クレジットカード情報の非保持化」とはどのような措置を指すのでしょうか?
クレジットカード情報の非保持化とは?
「非保持化」は、クレジット取引セキュリティ対策協議会が定めた、加盟店におけるクレジットカード情報保護対策の1つの方法です。具体的には、自社で保有する機器・ネットワークにおいてカード情報を「保存」、「処理」、「通過」しないことを指します。なお、非保持化の実現方法については、前述の「クレジットカード・セキュリティガイドライン」に詳しく記載されています。
非保持の場合、PCI DSSへの準拠は不要?
非保持化をしているからといっても、PCI DSSへの準拠が一律不要という訳ではありません。これについては、カード情報を扱う際の契約先に確認する必要があります。どのような企業においても、クレジットカードを取り扱う場合はアクワイアラなどの関連事業体との間で何らかの契約を結ぶ必要があるため、契約先にPCI DSS準拠の必要有無や準拠種別を確認し、PCI DSS準拠準備の基本要件を確定させる必要があります。
法的には準拠しなくても問題ない(つまり非保持相当なので何もしなくても違反とみなされない)場合でも、契約/セキュリティ的にはNG、ということはあり得ます。実際に、非保持としているECサイトからの情報漏洩も多発しているからです。
例)
・カード発行会社なら →契約しているカードブランドに確認する
・対面加盟店なら →契約しているカード会社に確認する
・ECサイトなら →契約しているPSP(※)に確認する
※PSPとは「Payment Service Provider」の略で、インターネット上の取引において EC加盟店にクレジットカード決済スキームを提供し、カード情報を処理する事業者のことをいいます。
PCI DSSの6つの目標と12の対応要件
では次に、PCI DSSの内容について見ていきましょう。PCI DSSでは、6つの目標とそれに対応する12の対応要件が以下のように定められています。
なお、以下に示すのはv4.0の目標・要件です。v3.2.1からv4.0への変更点については、新旧比較表をご覧ください。
目標①:安全なネットワークとシステムの構築と維持
要件1:ネットワークセキュリティコントロールの導入と維持
要件2:すべてのシステムコンポーネントにセキュアな設定を適用する
目標②:アカウントデータの保護
要件3:保存されたアカウントデータの保護
要件4:オープンな公共ネットワークでの送信時に、強力な暗号化技術でカード会員データを保護する
目標③:脆弱性管理プログラムの維持
要件5:悪意のあるソフトウェアからすべてのシステムおよびネットワークを保護する
要件6:安全なシステムおよびソフトウェアの開発と維持
目標④:強固なアクセス制御の実施
要件7:システムコンポーネントおよびカード会員データへのアクセスを、業務上必要な適用範囲(Need to Know)によって制限する
要件8:ユーザの識別とシステムコンポーネントへのアクセスの認証
要件9:カード会員データへの物理アクセスを制限する
目標⑤:ネットワークの定期的な監視とテスト
要件10:システムコンポーネントおよびカード会員データへのすべてのアクセスをログに記録し、監視すること
要件11:システムおよびネットワークのセキュリティを定期的にテストする
目標⑥:情報セキュリティポリシーの維持
要件12:組織の方針とプログラムによって情報セキュリティをサポートする
v4.0とv3.2.1の要件比較
v4.0では、いくつかの要件のタイトルが更新されたり、使用用語が変更されたりしています。詳しくは以下の新旧比較表をご覧ください。
v3.2.1 | ⇨ | v4.0 |
安全なネットワークとシステムの構築と維持 | 安全なネットワークとシステムの構築と維持 | |
要件1:カード会員データを保護するために、ファイアウォールをインストール して構成を維持する | タイトル変更→ | 要件1:ネットワークセキュリティコントロールの導入と維持 |
要件2:システムパスワードおよびその他のセキュリティパラメータにベンダ提 供のデフォルト値を使用しない | タイトル変更→ | 要件2:すべてのシステムコンポーネントにセキュアな設定を適用する |
カード会員データの保護 | 用語変更→ | アカウントデータの保護 |
要件3:保存されるカード会員データを保護する | 用語変更→ | 要件3:保存されたアカウントデータの保護 |
要件4:オープンな公共ネットワーク経由でカード会員データを伝送する場合、 暗号化する | タイトル変更→ | 要件4:オープンな公共ネットワークでの送信時に、強力な暗号化技術でカード会員データを保護する |
脆弱性管理プログラムの維持 | 脆弱性管理プログラムの維持 | |
要件5:すべてのシステムをマルウェアから保護し、ウイルス対策ソフトウェアまたはプログラムを定期的に更新する | タイトル変更→ | 要件5:悪意のあるソフトウェアからすべてのシステムおよびネットワークを保護する |
要件6:安全性の高いシステムとアプリケーションを開発し、保守する | タイトル変更→ | 要件6:安全なシステムおよびソフトウェアの開発と維持 |
強力なアクセス制御手法の導入 | 用語変更 | 強固なアクセス制御の実施 |
要件7:カード会員データへのアクセスを、業務上必要な範囲内に制限する | タイトル変更→ | 要件7:システムコンポーネントおよびカード会員データへのアクセスを、業務上必要な適用範囲(Need to Know)によって制限する |
要件8:システムコンポーネントへのアクセスを識別・認証する | タイトル変更→ | 要件8:ユーザの識別とシステムコンポーネントへのアクセスの認証 |
要件9:カード会員データへの物理アクセスを制限する | 要件9:カード会員データへの物理アクセスを制限する | |
ネットワークの定期的な監視およびテスト | ネットワークの定期的な監視およびテスト | |
要件10:ネットワークリソースおよびカード会員データへのすべてのアクセスを追跡および監視する | タイトル変更→ | 要件10:システムコンポーネントおよびカード会員データへのすべてのアクセスをログに記録し、監視すること |
要件11:セキュリティシステムおよびプロセスを定期的にテストする | 要件11:システムおよびネットワークのセキュリティを定期的にテストする | |
情報セキュリティポリシーの維持 | 情報セキュリティポリシーの維持 | |
要件12:すべての担当者の情報セキュリティに対応するポリシーを維持する | タイトル変更→ | 要件12:組織の方針とプログラムによって情報セキュリティをサポートする |
(v4.0とv3.2.1、各要件書の日本語版を参考に作成)
PCI DSSの認定取得
では、PCI DSSへの準拠を証明(認定取得)するためには何をすれば良いのでしょうか?
認定取得の方法
PCI DSSの認定取得には、以下の3つの方法があります。いずれか1つの適用というわけでなく、カード情報の取り扱い規模や事業形態に応じて、複数を実施する必要があります。なお、いずれの方法を利用すべきかについては、該当する準拠レベル(詳しくは後述)によって異なります。
訪問審査(オンサイト審査)
PCI SSCにより認定された審査機関(QSA:Qualified Security Assessor)の訪問審査を受け、認証を得るという方法です。すべてのイシュア、アクワイアラ、PSP、および大手サービスプロバイダなど、取り扱い規模が大きな(年間取引件数600万件以上)事業者の多くでこの方法が要求されます。また、カードブランドやPSPと直接接続する場合には、訪問審査を受けることが必須事項として求められます。
監査は規模に応じて、数日から場合によっては数週間に及び、審査後には、AOC(コンプライアンス証明書/準拠証明書)とROC(コンプライアンス報告書/準拠報告書)が発行されます。
自己問診(SAQ、Self Assessment Questionnaire)
PCIDSSの要求事項に基づいたアンケート形式のチェック項目に回答していき、すべて「Yes」であれば準拠が認められるというもので、カード情報取扱い件数の比較的少ない、一般加盟店などの事業者向けの方法です。SAQにはさまざまな種類があり、内容も専門的であるため、PCI DSSの要件書や用語集などを読み解きながら、チェック項目に記載されている意図を理解した上で回答していく必要があります。なお、自己問診の場合、AOCはPCI SSCのサイトからダウンロードして自ら記入することになります。
一方で、SAQが有効とみなされるためには、回答者の署名に加え、その内容に責任を持つ所属事業体の経営層の署名が必要なケースも多いです。そのため、問診内容についてQSAの認証を得る「SAQ AOC」という準拠証明方式も用意されています。
ASVスキャン
PCI SSCによって認定されたスキャンベンダー(ASV:Approved Scanning Vendor)のスキャンツールによってテストを受け、サイトに脆弱性が存在しないことを証明する方法です。テストは四半期に1回以上行い、Webサイトから侵入されて情報を盗み取られる可能性がないかを確かめます。このテストにパスできなかった場合はプログラムの修正を行い、パスできるようになるまで再診断を受ける必要があります。
オンサイト監査を受ける企業もSAQで自己問診を行う企業も、Webサイトでクレジットカード情報を扱っている場合は、ASVの証明書を四半期に1回入手することが、PCI DSS準拠の条件となります。
準拠証明の期間
通常は1年間(年1回準拠状況を確認されるケースが多い)ですが、対象範囲に変更があった場合は再監査が必要になります。
PCI SSCが認定するベンダー
QSA、ASV、PFI(準拠後、カード情報の漏洩事故があった場合等にフォレンジック調査をする認定専門機関)など、PCI SSCが認定するベンダーについては、PCI SSCの英語サイトで検索できます。日本語サイトには限られた情報しか掲載されないため、英語サイトを定期的にチェックすることが重要です。
PCI DSS準拠における「レベル」とは?
PCI DSSの準拠には、取引量などに応じて「レベル」が定められています。対象企業は自身がどのレベルに該当するかを確認し、そのレベルの要件に従わなければなりません。
VISAのレベル分類と要件
各レベルで求められる要件はカードブランドによって異なりますが、ここでは例としてVISAのレベル分類・要件を紹介します。
(表)加盟店のレベル分類・要件
加盟店レベル | 基準 | 毎年の要件 | 毎四半期の要件 |
レベル1 | ・VISA取引件数が年間600万件を超える加盟店 ・任意のVISA地域でレベル1と識別されているグローバル加盟店 | ・認定審査機関(QSA)または内部監査人が作成したコンプライアンス報告書(ROC)を提出すること。内部監査人は、PCI SSC内部監査機関(ISA)の認証を取得することが推奨される。 ・コンプライアンス証明書(AOC)を提出すること | ・認定脆弱性スキャンベンダー(ASV)による四半期ごとのネットワークスキャンを実施すること |
レベル2 | ・VISA取引件数が年間100万〜600万件の加盟店 | ・自己問診 (SAQ)を実施すること ・コンプライアンス証明書(AOC)を提出すること | ・認定脆弱性スキャンベンダー(ASV)による四半期ごとのネットワークスキャンを実施すること |
レベル3 | ・VISAのEコマース取引件数が年間2万〜100万件の加盟店 | ・自己問診 (SAQ)を実施すること ・コンプライアンス証明書(AOC)を提出すること | ・認定脆弱性スキャンベンダー(ASV)による四半期ごとのネットワークスキャンを実施すること |
レベル4 | ・VISAのEコマース取引件数が年間2万未満の加盟店 ・VISA取引件数が年間100万件未満のその他すべての加盟店 | ・自己問診 (SAQ)を実施すること ・コンプライアンス証明書(AOC)を提出すること | ・認定脆弱性スキャンベンダー(ASV)による四半期ごとのネットワークスキャンを実施すること(該当する場合) |
(VISAのサイトを参考に作成)
(表)サービスプロバイダのレベル分類・要件
サービスプロバイダレベル | 基準 | 毎年の要件 | 毎四半期の要件 |
レベル1 | ・VISAアカウントや取引の保存、処理、または伝送の件数が年間30万件を超えるVisaNetプロセッサーやサービスプロバイダ | ・認定審査機関(QSA)または内部監査人が作成したコンプライアンス報告書(ROC)を提出すること。 ・コンプライアンス証明書(AOC)を提出すること | ・認定脆弱性スキャンベンダー(ASV)による四半期ごとのネットワークスキャンを実施すること |
レベル2 | ・VISAアカウントや取引の保存、処理、または伝送の件数が年間30万件未満のサービスプロバイダ | ・自己問診 (SAQ)を実施すること ・コンプライアンス証明書(AOC)を提出すること | ・認定脆弱性スキャンベンダー(ASV)による四半期ごとのネットワークスキャンを実施すること |
(VISAのサイトを参考に作成)
認定取得による副次的効果
PCI DSSに準拠する副次的効果としては、以下のようなものが挙げられます。
企業価値(信用、ブランド力)の向上
PCI DSSはセキュリティの国際基準であることに加え、かなりの時間や手間をかけなければ準拠できないことで知られています。しかしその分、認定を取得している企業に対する外部からの信頼は増すことが期待できます。
サイトの改ざんや悪用、情報盗用などのリスク低減
先ほど紹介した近年のインシデント事例からもお分かりいただけるように、システムの脆弱性を利用した不正アクセスを受けてペイメントアプリケーション等が改ざんされ、カード情報の漏洩に至るというケースが多々報告されています。PCI DSSの要件に従うことでセキュリティは確実に強化されるため、上記のようなカード情報関連のインシデントが発生する確率を下げることができます。特に、PCI DSSでは「脆弱性管理プログラムの維持」が目標の1つとして掲げられており、準拠によって脆弱性対策を効果的に実施することが可能です。
PCI DSS準拠までのプロセス
最後に、PCI DSS準拠に至るまでの大まかな流れや準拠にかかる費用などについて紹介します。
認定取得までの流れ・費用
認定取得までの流れ
①準備段階
・外部要求整理
・認証種別の決定
・適用範囲の決定
②環境整備
・セグメンテーションの実施
・文書整備
・システム改修、など
③診断およびスキャン
・脆弱性診断
・ASVスキャン
④診断・スキャン結果への対応
・脆弱性対応
・プログラム修正
⑤その他の対応
・セキュリティ教育
・委託先評価
・運用記録取得
認定取得にかかる費用
以下は、認定取得に必要な費用・期間の一例です。
・体制構築支援などのコンサルティングサービス利用費用:約400万円
コンサル会社との1年契約(準備段階の支援から監査同席、準拠証明取得までの支援契約)の費用です。
・監査費用:約250万円(5日間のオンサイト監査の場合)
・ASVスキャン費用:約50万円(年4回、3サイトの場合)
・システム改修費
マキナレコードのPCI DSS認定取得支援サービス
PCI DSSの要件は高度で専門性が高いものが多く、対応にはかなりの時間と労力が必要です。そのため、認定を取得する際には専門のコンサルティングサービスを利用することをお勧めします。
株式会社マキナレコードでは、「『認定取得』で終わらせない、ちゃんとしたセキュリティを」をモットーに、PCI DSSの取得から維持運用・更新までを幅広くサポートしています。認定審査機関(QSA)にて実際にPCI DSS監査や準拠に向けた体制/業務構築支援を実施した経験を持つ、専任のコンサルタントが支援を担当いたします。
<充実の支援オプション>
PCI DSSトータルサービス
準備から監査立ち会い、是正対応、そして準拠後の運用に至るまでのすべてのプロセスを通じて必要な支援を提供します。
SAQ作成支援
具体的には、以下のような支援を行います。
・対象範囲の決定
・該当するSAQ種別の確定
・運用体制の構築、確認
・必要な対応の実施(文書、システム実装)
個別サービス
個別の不足要素にフォーカスしたコンサルサービスを提供します。
・教育(PCI DSS関係者への教育、開発担当者への教育など)
・対象範囲の決定、セグメンテーション
・Fit&Gap(12要件と現状のGap分析、要件を満たすための実装方法の検討)
・文書化、システム実装
・監査対応(内部監査、オンサイト監査への立ち会いおよび指摘是正事項への対応)
・準拠後の運用支援、年次監査準備の支援
PCI DSS認定取得支援サービスについて詳しくは、弊社ホームページをご覧ください。
情報源
https://www.pcisecuritystandards.org/document_library/?category=pcidss&document=pci_dss(PCI DSS v4.0関連文書一覧)
https://ja.pcisecuritystandards.org/_onelink_/pcisecurity/en2ja/minisite/en/docs/PCI_DSS_v3%202_JA-JP_20170816.pdf(Payment Card Industry データセキュリティ基準 v3.2)
https://www.meti.go.jp/press/2021/03/20220309003/20220309003.html(「クレジットカード・セキュリティガイドライン」)
https://www.j-credit.or.jp/download/news20220309b3.pdf( 「クレジットカード・セキュリティガイドライン FAQ」)
https://www.jcdsc.org/pci_dss.php(日本カード情報セキュリティ協議会)
https://www.showcase-tv.com/pressrelease/202210-fa-info/(ショーケース)
https://www3.nhk.or.jp/shutoken-news/20221027/1000086213.html(ショーケース)
https://casuca.jp/news/index.php/2022-0929/(CASUCAオンラインショップ)
https://www.l-m.co.jp/apology/(ユニフォームタウン)
https://www.292929.jp/(中村食肉ショッピングサイト)
https://www.stoke-sk8.com/information/info.html(ストークスケートリテイル)
https://vector-park.jp/contents/images/attention/park_credit_20220818.pdf(ベクトルパーク)
https://shop.parisienne-lashlift.jp/NewsList/#news_20220815(Parisienne Lash Lift オンラインショップ)
https://shop.diyfactory.jp/(DIY FACTORY Business)
http://infinitedayo.jp/news/20220708info/(インフィニット WEB SHOP)
https://www.kitchoan.co.jp/news/5088/(宗家源吉兆庵オンラインショップ)
https://note.com/birds_words/n/n3005cbad89fd(BIRDS’ WORDSオンラインストア)
https://www.metaps-payment.com/company/news.html(メタップスペイメント)
https://www.metaps-payment.com/company/20220125.html(メタップスペイメント)
https://www.metaps-payment.com/company/20220228.html(メタップスペイメント)
https://www.metaps-payment.com/company/20220801.html(メタップスペイメント)
Writer
2015年に上智大学卒業後、ベンチャー企業に入社。2018年にオーストラリアへ語学留学し、大手グローバル電機メーカーでの勤務を経験した後、フリーランスで英日翻訳業をスタート。2021年からはマキナレコードにて翻訳業務や特集記事の作成を担当。情報セキュリティやセキュリティ認証などに関するさまざまな話題を、「誰が読んでもわかりやすい文章」で解説することを目指し、記事執筆に取り組んでいる。