PCIDSS(Payment Card Industry Data Security Standard)とは、加盟店・支払代行事業者が取り扱うカード会員のクレジットカード情報・取り引き情報を安全に守るために、JCB・American Express・Discover・MasterCard・VISAの国際ペイメントブランド5社が共同で策定した、クレジット業界におけるグローバルセキュリティ基準です。
このセキュリティ基準は、国際ブランドであるVISA, MasterCardのセキュリティ基準を基に策定されたもので、セキュリティマネジメントが中心であったVISAのAIS(Account Information Security、米国ではCISP)と対不正アクセスが中心であったMasterCard のSDP(Site Data Protection)とを統合させたものです。
PCIDSSは、 6つのカテゴリーにおいて、カード情報および取り引き情報を保護するための12項目を挙げ、カード加盟店や支払代行事業者等が遵守すべき最低限の基準を定めています。
・PCIDSSの12要件
安全なネットワークの構築・維持
要件1: データを保護するためにファイアウォールの導入をし、最適な設定を維持すること
要件2: システムまたはソフトウエアの出荷時の初期設定値(セキュリティに関する設定値)をそのまま利用しないこと
カード会員情報の保護
要件3: 保存されたデータを安全に保護すること
要件4: 公衆ネットワーク上でカード会員情報およびセンシティブ情報を送信する場合、暗号化すること
脆弱点を管理するプログラムの維持
要件5: アンチウイルスソフトを利用し、定期的にソフトを更新すること
要件6: 安全性の高いシステムとアプリケーションを開発し、保守すること
強固なアクセス制御手法の導入
要件7: 業務目的別にデータアクセスを制限すること
要件8: コンピュータにアクセスする際、利用者毎に識別IDを割り当てること
要件9: カード会員情報にアクセスする際、物理的なアクセスを制限すること
定期的なネットワークの監視およびテスト
要件10: ネットワーク資源およびカード会員情報に対するすべてのアクセスを追跡し、監視すること
要件11: セキュリティシステムおよび有事の対応手順を定期的にテストすること
情報セキュリティポリシーの保有
要件12: 情報セキュリティに関するポリシーを保持すること
・PCIDSSの適用対象
カード会員情報を格納、処理、または伝送する全てのメンバー機関、加盟店、サービス・プロバイダに対して適用されます。
・PCIDSSの検証方法
上述のクレジットカードブランドを扱う事業者は、PCIDSSの遵守状況を確認する為、ブランドのルールに従って、「自己問診」、「脆弱性スキャン」、「訪問審査」など事業者の業種や規模に応じた検証作業が求められます。
情報セキュリティ基準には、ISMS(Information Security Management System)という民間主導による第三者認証制度もありますが、一つの企業内部における統制であり、これに対し、PCIDSSは業界における契約上の要求事項であり統率力はより強力であると言えます。
また、独立した監督組織「PCI Security Standards Council」 も設立し、PCIデータ・セキュリティ基準の策定・維持管理・普及を推進しています。
2005年、米国支払データ処理サービス会社「カードシステムズ・ソリューション」社で4,000万件を越える大量のクレジットカード番号が漏洩する事件が起こりました。
この教訓を胸に刻み、PCISSCでの活動をとおして、クレジットカードをより安心して利用できる環境づくりが着実に行われています。