クレジットカードのセキュリティ基準『PCIDSS』ってなに？

クレジットカードや電子決済の業務を行っていると、時々耳にする「PCIDSS」ですが、実際にはどういったことなのでしょうか。

PCIDSS（Payment Card Industry Data Security Standard）について説明しますと、下記のような決済システムのセキュリティ要件のようです。

概要

PCIDSSは、クレジットカード情報を保護するための一連のセキュリティ基準です。これは、主要なクレジットカード会社（Visa、MasterCard、American Express、Discover、JCB）が共同で設立したPCI（Payment Card Industry）Security Standards Councilによって管理されています。PCIDSSの目的は、カード会員データの盗難や不正利用を防ぐことです。

要件

PCIDSSは12の要件から成り立っています。これらの要件は、カード情報を取り扱う企業が満たすべき具体的なセキュリティ対策を示しています。

1. ファイアウォールの設定と管理：カード会員データを保護するためのファイアウォールを設置し、適切に管理します。
2. デフォルトのパスワードの変更：デフォルトのパスワードやセキュリティ設定を変更します。
3. カード会員データの保護：保存されるカード会員データを保護します。
4. 暗号化の使用：ネットワークを通じて送信されるカード会員データを暗号化します。
5. ウイルス対策ソフトの使用と更新：適切なウイルス対策ソフトを使用し、定期的に更新します。
6. セキュリティシステムとプロセスの開発と保守：安全なシステムとアプリケーションを開発し、維持します。
7. カード会員データへのアクセス制限：カード会員データへのアクセスを業務上必要な場合に限定します。
8. ユニークなIDの割り当て：システムへのアクセスには、各ユーザーにユニークなIDを割り当てます。
9. 物理的なアクセス制限：カード会員データが保存されている物理的な場所へのアクセスを制限します。
10. アクセス履歴の監視と追跡：システムへのアクセスやデータへのアクセスの履歴を監視し、記録します。
11. セキュリティシステムの定期的なテスト：セキュリティシステムやプロセスの定期的なテストを実施します。
12. 情報セキュリティポリシーの整備：情報セキュリティに関するポリシーを整備し、従業員に教育します。

準拠の必要性

PCIDSSに準拠することは、カード会員データを取り扱う全ての企業に求められています。これは、クレジットカード情報の保護を徹底することで、カード会員や取引の信頼性を高めるためです。

準拠のメリット

• セキュリティの向上：PCIDSSに準拠することで、クレジットカード情報のセキュリティが強化されます。
• 信用の向上：PCIDSS準拠は、顧客や取引先からの信頼を高める要因となります。
• 規制遵守の証明：PCIDSS準拠は、法的要件や業界規制を遵守していることの証明になります。

準拠の方法

PCIDSS準拠のためには、定期的な監査や自己評価を実施し、必要なセキュリティ対策を講じる必要があります。特に大規模な企業や取引量の多い企業は、外部の認定監査機関による監査が求められる場合があります。

PCIDSSは、クレジットカード情報の保護を徹底するための重要な基準であり、企業のセキュリティ対策の指針となるものです。