「PCI DSS」とは、クレジットカードによる取引の安全を守るために定められた、国際的なセキュリティ基準です。
経済産業省の発表によると、2023年の日本のキャッシュレス決済比率は39.3%に達しています。その中でもクレジットカードは、約77%を占める主要な決済手段です。オンラインでの商品購入、サブスクリプションサービスの月額支払い、公共料金や税金の納付、日々のコンビニエンスストアでの決済まで、金額の多寡を問わず、その利用シーンは広がり続けています。
ただ利便性の裏側で、「自分のカード情報は安全に管理されているのか」という不安を感じたことがある方は、少なくないかもしれません。ニュースで報道されるフィッシング詐欺による情報窃取や、ECサイトからの大規模な個人情報漏えい事件を見聞きするたびに、カードを事業者に預けることへの漠然としたリスクを感じるのは自然なことです。
そこでこの記事では、クレジットカードの取扱いがある全ての事業者が知っておくべきPCI DSSについて、その目的や制定された背景、事業者が守るべき12の要件、そして準拠しない場合に起こり得る深刻なリスクまで、専門的な知識がない方にもわかるよう丁寧に解説します。
PCI DSSとは?カード情報を守るための国際基準
PCI DSS(Payment Card Industry Data Security Standard)は、JCB、American Express、Discover、Mastercard、Visaが共同で設立した、クレジットカード決済に伴い、事業者に課せられたセキュリティ基準です。国や地域によるセキュリティレベルのばらつきやクレジットカード情報の漏えいを防ぎ、カード決済システム全体の安全性を高めることを目的に、2006年に設立されました。
PCI DSSは、特定の国の法律ではありません。しかしカード情報を取扱う全ての事業者に、準拠が求められています。いわば、業界標準ルールです。
クレジットカードを扱う企業が対象となる制度
PCI DSSを順守すべき対象には、クレジットカード会員のデータを「保存、処理、伝送」する、全ての事業者が含まれます。オンラインで商品を販売するECサイトや実店舗を持つ小売業はもちろんのこと、以下のような事業者も対象です。
- 決済代行会社(PSP):加盟店とカード会社の間で決済処理を中継する事業者
- 決済システムの開発・運用ベンダー:ショッピングカートや決済アプリケーションを提供する事業者
- データセンター、ホスティング事業者:カード情報を保存するサーバーの物理的な場所やネットワークインフラを提供する事業者
- 情報処理を受託する印刷会社:カード利用明細書の発行などを行う事業者
PCI DSSがなぜ必要?制定の背景について解説
主要なクレジットカードブランド各社が協力してまで統一基準を策定した背景には、カードブランドごとにルールがばらばらで、事業者が対応しきれなくなっていたこと。またECサイトの普及に伴い、大規模な情報漏えい事件が頻発し、社会問題化したことが挙げられます。
それぞれ順に解説いたします。
カード業界全体の安全性を高めるための取り組み
PCI DSSが設立される以前は、国際カードブランド各社はそれぞれに、独自のセキュリティ基準を設けていました。そしてこれが、複数のブランドを扱う事業者を中心に、トラブルの元凶となっていたことが、PCI DSSの設立につながっています。
たとえばあるクレジットカード会社Aはシステムの記録(ログ)の保管期間を90日にしているが、Bでは180日間に設定している、といったように、カード会社ごとにルールが異なる状態がありました。これでは、事業者は一番厳しい基準(上記例ではB社の180日)に合わせるしかありません。
しかし別の項目、たとえばパスワードの変更頻度では、A社の方がB社より厳しい要求を課すケースもありました。
このように、項目ごとに異なる各ブランドのルールブックを読み解き、その都度一番厳しいものに対応するのは、あまりにも煩雑な作業です。そして本来の、セキュリティ精度を高めるという目的を達成できない可能性もあります。
そこで主要なカードブランド5社が協力し、セキュリティの基準を一つにまとめたもの。それが、PCI DSSです。
PCI DSSの登場により、事業者は、明確で統一された一つのルールに集中して取組めるようになりました。業界全体のセキュリティレベルを効率的に引き上げられるように、整備されたといえます。
情報漏洩事件の多発が制度制定のきっかけに
PCI DSS策定の議論を決定的に加速させたのは、2000年代初頭から中盤にかけて多発した、大規模なクレジットカード情報漏えい事件です。
ECサイトの黎明期は、多くの事業者がセキュリティの重要性を十分に認識しないまま、オンラインでのカード決済を導入していました。その結果、攻撃者にとって格好の標的となり、深刻な被害が次々と明らかになったのです。
象徴的な事件として、米国の決済代行会社CardSystems Solutions社で2005年に発覚した、情報漏えいが挙げられます。この事件では約4,000万件ものカード情報が不正アクセスにより流出し、大規模な不正利用被害を引き起こしました。事態を重く見たVisaやAmerican Expressは、同社との契約を打ち切り、CardSystems社は事業継続が困難な状況に追い込まれています。
また2005年から2007年にかけて発覚した小売大手TJX社の事件では、無線LANの脆弱性を突かれて約9,400万件という、当時としては史上最悪規模のカード情報が盗まれました。
これらの事件は、消費者にはカード不正利用の不安を、そして事業者には倒産にもつながりかねない経営リスクを突きつけた、象徴的な事件です。と同時に、カード情報の保護を個別の企業の努力だけに任せる状態には限界があると、明らかになりました。
一つの企業で発生した情報漏えいは、カード会員、カード発行会社、他の加盟店など、決済システムに関わる全てのステークホルダーに影響を及ぼします。最終的には、クレジットカード決済という仕組みそのものへの信頼を揺るがしかねません。
このような背景を受けて、強固で統一されたセキュリティ基準であるPCI DSSの設立が実現しました。
PCI DSSが定める12のルール
PCI DSSでは、クレジットカード情報を安全に取扱うために、事業者が遵守すべき具体的な12のルールを定めています。これらがいわゆる「12の要件」です。技術的な対策から組織の体制づくりまで、多岐にわたる項目を網羅しています。
12の要件をカテゴリごとに整理して理解する
12の要件は、その目的別に6つのグループ(コントロール目標)に分類されています。これらのカテゴリごとに整理して捉えることで、PCI DSSが何を達成しようとしているのか、全体像の理解が容易になるでしょう。
それぞれ順に解説します。
安全なネットワークの構築と維持を求めている
この要件グループは、外部の脅威に対する最も基本的な「防御壁」を築くことを目的としています。
| 要件番号と概要 | 要件の具体的な内容・目的 |
| 要件1:ファイアウォールを導入して、カード会員データを保護。また、その設定を維持する。 | ネットワークの「門番」として不正アクセスをブロックします。また、ネットワークを分離(セグメンテーション)し、被害の拡大を防ぎます。 |
| 要件2:ベンダー提供の初期設定をそのまま使用しない。 | 機器導入時に、推測されやすい初期設定パスワードを必ず変更し、不要な機能を無効化(ハードニング)してシステムを堅牢にします。 |
カード会員データの保護を徹底するための基準
この要件グループは、ネットワークの防御壁の内側にある最重要資産、つまりカード情報そのものを直接保護することを目的とします。
| 要件番号と概要 | 要件の具体的な内容・目的 |
| 要件3:保存しているカード会員データを暗号化するなど、読み取れないように保護する。 | 暗号化やトークン化で、保存されているデータを読み取れないようにします。特にCVVなどの機密認証データは保存が禁止されています。 |
| 要件4:公衆ネットワークを通じてカード会員データを送信する際は、強力な暗号化で保護する。 | インターネット経由でデータを送信する際、最新のTLSで通信を暗号化し、第三者による盗聴を防ぎます。 |
脆弱性を放置しない仕組みを持つことが必要
この要件グループは、システムの「健康管理」を継続し、日々発見されるセキュリティ上の弱点(脆弱性)を放置しない仕組みを求めるものです。
| 要件番号と概要 | 要件の具体的な内容・目的 |
| 要件5:全てのシステムをマルウェアから保護し、アンチウイルスソフトを定期的に更新する。 | アンチウイルスソフトを導入し、定義ファイルを常に最新の状態に保つことで、ウイルスやランサムウェアの侵入を防ぎます。 |
| 要件6:安全性の高いシステムとアプリケーションを開発し、維持する。 | OSやソフトウェアに提供されるセキュリティパッチを迅速に適用し、システムの弱点をなくします。自社開発アプリの安全性も確保します。 |
アクセスを管理し不要な権限を排除する
この要件グループは、カード情報にアクセスできる人物を厳格に管理し、内部の不正行為や意図しない操作ミスを防ぐことを目的としています。
| 要件番号と概要 | 要件の具体的な内容・目的 |
| 要件7:カード会員データへのアクセスを、業務上その情報を知る必要のある担当者のみに制限する。 | 「知る必要性」と「最小権限の原則」に基づき、役割に応じて必要な最小限の権限のみを与えます。 |
| 要件8:システムにアクセスする担当者一人ひとりを識別し、認証する仕組みを導入する。 | 全ての担当者に一意のIDを割り当て、共用を禁止します。認証は多要素認証(MFA)などで強化し、なりすましを防ぎます。 |
| 要件9:カード会員データが保存されているサーバーなど、物理的なアクセスを制限する。 | サーバー室などへの入退室をカードキーや監視カメラで管理し、権限のない人物による物理的なデータの盗難を防ぎます。 |
アクセス状況を監視し定期的に検証する体制
この要件グループは、セキュリティ対策が継続的に正しく機能しているかを確認し、不正の兆候をいち早く検知するためのものです。
| 要件番号と概要 | 要件の具体的な内容・目的 |
| 要件10:ネットワークリソースおよびカード会員データへの全てのアクセスを追跡し、監視する。 | 「誰が、いつ、何をしたか」を全てログとして記録し、監視します。インシデント発生時の原因追跡に不可欠です。 |
| 要件11:セキュリティに関するシステムおよび業務手順を、定期的にテストする。 | 脆弱性スキャン(四半期に一度)やペネトレーションテスト(年に一度)を実施し、システムに弱点がないかを定期的に検証します。 |
継続的にセキュリティを維持する方針を策定する
この要件グループは、全ての対策を支える組織の「セキュリティ憲法」ともいえる、包括的な情報セキュリティポリシーの策定と維持を定めています。
| 要件番号と概要 | 要件の具体的な内容・目的 |
| 要件12:従業員や関係者に対する情報セキュリティポリシーを整備し、維持する。 | 全従業員の役割と責任、年次の研修、インシデント対応計画などを定めたポリシーを策定・維持し、組織全体のセキュリティ文化を醸成します。 |
PCI DSSの取り組む意味を理解する
PCI DSS準拠への取組みには、少なからずコストが発生します。それでも取組むべき意味と価値について、理解を深めましょう。
それぞれ順に解説いたします。
カード会員情報と信頼関係を守るための制度である
PCI DSSへの準拠は、単に義務的なルールを守るという、消極的な活動ではありません。デジタル決済が社会のインフラとなった現代において、企業の重要な資産である「情報」と「信頼」を守り、事業を継続していくための、根幹的な経営課題です。
そもそも事業者がお客様のカード情報を取扱う際には、大きく分けて二つの選択肢があります。一つは、カード情報を自社で責任をもって管理し、国際基準であるPCI DSSに完全に準拠する方法。もう一つは、決済代行会社などを利用し、自社ではカード情報に一切触れない「非保持化」という方法です。
ここで重要なのは、どちらの方法を選ぶかは事業者側の判断であり、お客様(消費者)からはその違いが見えにくいということ。だからこそお客様は「このお店は信頼できるか」という点を、シビアに見ています。なおある海外の調査では、対象となった消費者の約2/3(66%)が「データ漏えいのあった企業を再び選ばない」と回答しました。
お客様が安心してカード番号を預けられるかどうかは、事業者がセキュリティに真摯に取組んでいる姿勢を示せるか否かにかかっています。
事業者がPCI DSS準拠と非保持化のどちらの方法を選ぶにせよ、お客様に対する「安全の証明」は不可欠です。自社でカード情報を取扱うのであれば、国際基準であるPCI DSSへの準拠が、その信頼性を示す唯一の手段となります。
一方、「非保持化」を選択する場合でも、利用している決済代行会社がPCI DSSに準拠していることが、安全性の根拠です。
結局のところ、PCI DSSという基準が、お客様の信頼を支える土台となっているのです。そのため、PCI DSSに関連する取組みへの投資は単なるコストではなく、お客様からの信頼を獲得し、企業のブランド価値と事業継続性を高めるための、極めて重要な戦略的投資といえます。は非常に大きい
万が一、セキュリティ対策が不十分なまま情報漏えい事故が発生した場合、事業者が被る損害は計り知れません。その被害は、単なる金銭的損失にとどまらず、事業の根幹を揺るがす複合的なダメージに発展する可能性があります。
- カードブランドからの罰金の請求:カード会社(VisaやMastercardなど)が定める規則に基づき、加盟店契約銀行を通じて多額の罰金が科されます。
- 各種賠償費用:漏えいしたカードの再発行費用や、被害に遭った顧客への損害賠償、不正利用の監視(モニタリング)サービスの提供費用などが発生します。
- インシデント対応費用:漏えい原因を特定するための専門調査機関(PFI)への依頼費用、弁護士費用、顧客への通知や問合せ対応窓口の設置費用など、事故対応そのものに高額なコストがかかります。
近年の調査では、一件の情報漏えい事故が引き起こす平均損害額は数億円にのぼるとも報告されています。たとえば、日本ネットワークセキュリティ協会(JNSA)が発表した「2018年 情報セキュリティインシデントに関する調査報告書」によれば、443件の情報漏えい事故で、漏えいした人数は561万3797人、想定損害賠償総額は2,684億5743万円。1件当たりの平均想定損害賠償額は、6億3767万円とされています。
これでは、企業の財務基盤を根底から揺るがしかねません。
また金銭的損害以上に深刻なのが、長年かけて築き上げてきたブランドイメージと顧客からの信頼の失墜です。
「あのサイトでカードを使ったら情報が漏れた」という事実は、顧客の記憶に長く残ります。客離れを招くだけでなく、新規顧客の獲得も困難になるでしょう。一度失った信頼を回復するには、金銭的損失を遥かに上回る時間と努力が必要です。
対策実施を社外に示すことで信頼性が高まる
PCI DSSへの準拠は、自社のセキュリティレベルが国際基準を満たしていることを示す、客観的な証明です。
たとえば「セキュリティ対策をしています」と自己申告をしても、顧客や取引先は安心できないでしょう。取引先は当然、自社が被るリスクを低減するために、PCI DSSに準拠している企業をパートナーとして選びたいと考えます。
そこで、PCI DSSという世界共通の”ものさし”に準拠しているとしたらどうでしょう。「万全なセキュリティ対策」という言葉に、揺るぎない説得力が生まれます。
特に、他の企業の決済処理を代行するサービスプロバイダや、決済システムを開発するITベンダーの場合、PCI DSS準拠はビジネスを行う上での「パスポート」のようなものです。
公式サイトなどでPCI DSS準拠を明示すれば、競合他社との明確な差別化要因となり、新たなビジネスチャンスの獲得につながります。
準拠しない場合は信用を大きく損なう可能性がある
仮に、運よく情報漏えい事故を起こさなかったとしても、PCI DSSに準拠していないという事実そのものが、事業運営上の重大なリスクとなり得ます。具体的には、次の2点です。
- カード加盟店契約の解除リスク
- サイバー保険に加入できない可能性
カード会社や決済代行会社の監査の際に非準拠が発覚した場合、カード決済の取引手数料を引き上げられたり、最悪の場合はクレジットカード加盟店契約を一方的に解除されたりする可能性があります。
実際、American Express等大手ブランドの公式運用方針資料では「PCI DSS非遵守の場合、非準拠費用(ペナルティ)の課金、支払い保留、最悪の場合は加盟店契約の解除などもあり得る」と、記載されています。また経済産業省の資料でも「改善依頼後も基準を満たさない場合、加盟店契約の解除となる」旨の記載が確認できました。
現代のビジネスにおいて、カード決済という主要な手段を失うことは、事業の継続を極めて困難にすることは、周知の事実です。何としても、避けねばなりません。
また近年、多くのサイバー保険が、加入の条件としてPCI DSSをはじめとするセキュリティ基準への準拠を求めています。非準拠の状態では保険の加入を断られるほか、万が一事故が起きても保険金が支払われないことも。その場合、リスクを自社で全て抱え込む事態になります。
今や、PCI DSSへの準拠は、安定した事業運営を続けるために欠かせない「信頼のライセンス」であることが、おわかりいただけたでしょう。
PCI DSSが求められる企業の特徴
PCI DSSは、一部の大企業やIT関連企業だけを対象としたものではありません。クレジットカード決済という仕組みに関わる、全ての事業者が対象です。
ここでは、どのような特徴を持つ企業にPCI DSS準拠が求められるのかを、具体的に解説します。
それぞれ順に解説いたします。
クレジットカードを扱う業務がある企業が対象になる
PCI DSSの対象となるかどうかを判断する際の基準は、事業活動において顧客からクレジットカードでの支払いを受け付けているか否か、です。クレジットカード払いを取扱っている場合は、企業の規模や業種、決済チャネル、利益の大小を問わず、PCI DSSの対象となります。
たとえば、オンラインのECサイトや街中の店舗はもちろんのこと、電話や郵送での注文受付(MOTO)、モバイルアプリ経由の決済、サブスクリプションなどの継続課金などでカード決済を導入していれば、全ての事業者が対象です。
カード情報を保存処理送信する業務は準拠が求められる
PCI DSSが特に重視するのは、カード会員データの「保存」「処理」「送信」という3つの行為です。
- 保存:会員情報として、あるいは継続課金のためにカード情報をデータベースなどに記録すること。
- 処理:決済時にカード情報をアプリケーションなどで扱うこと。
- 送信:決済端末やECサイトから決済代行会社へカード情報をネットワーク経由で送ること。
自社のシステムやネットワーク内で、これらのいずれか一つでも行っている場合、事業者はPCI DSS準拠の義務を負います。
対象業種はEC飲食小売以外にも広がっている
クレジットカード決済は今や、私たちが日常的に利用する店舗やWebサイト以外にも、さまざまな業種で利用されています。
たとえば、以下のような業種やサービスも全て対象です。
- 公共料金(電気・ガス・水道)
- 通信(携帯電話・インターネットプロバイダ)
- 保険(保険料の支払い)
- 運輸・旅行(航空会社・鉄道会社・ホテル)
- 病院・クリニック
- 大学などの教育機関
- 決済を代行や関連システムを提供するITベンダー
「うちの事業所は、PCI DSS準拠の対象ではないはず」と誤認していたがために不利益を被る、といったことがないよう、十分ご注意ください。
年間取引件数でレベル1〜4に分類される
PCI DSSでは、全ての対象事業者を年間のカード取引件数に応じてレベル分けしています。対象はカード会員と直接取引する「加盟店」と、その決済処理などを代行する「サービスプロバイダ」に大別され、それぞれレベルの定義が異なります。
守るべき12の要件はどのレベルでも同じですが、準拠していることを証明する方法(検証要件)がレベルによって大きく異なる点に、注意が必要です。
| 事業者区分 | レベル | 主な対象(年間取引件数) | 年に一度の主な検証要件 |
| 加盟店 | レベル1 | 600万件超 | 訪問審査(QSAによるROC提出) |
|---|---|---|---|
| レベル2 | 100万件超~600万件以下 | 自己問診(SAQ提出) | |
| レベル3 | 2万件超~100万件以下(Eコマース) | 自己問診(SAQ提出) | |
| レベル4 | 上記以外 | 自己問診(SAQ提出)※ | |
| サービスプロバイダ | レベル1 | 30万件超 | 訪問審査(QSAによるROC提出) |
| レベル2 | 30万件以下 | 自己問診(SAQ提出) |
レベル4の事業者は、多くの場合、契約するカード会社からSAQの提出を求められますが、
取引件数が極めて少ない場合は免除されることもあります。契約内容をご確認ください。
【検証要件のポイント】
- 訪問審査(ROC:Report on Compliance):認定審査機関(QSA)が現地を訪れ、厳格な審査を行う方法です。
- 自己問診(SAQ:Self-Assessment Questionnaire):事業者自身がチェックリスト形式の質問票に回答し、準拠を宣言する方法です。
- ネットワークスキャン:上記に加え、多くの事業者(※SAQのタイプによる)は、認定ベンダー(ASV)による四半期ごとのネットワークスキャンも必要です。
このように、加盟店とサービスプロバイダでは、同じレベル1でも取引件数の基準が大きく異なることがわかります。
PCI DSS準拠までの流れと必要な体制
PCI DSSへの準拠は、一度に完了する単純な作業ではありません。現状を正しく把握し、計画的に対策を進めていくプロジェクトとして捉えることが重要です。
ここでは、準拠を達成するまでの標準的な流れを5つのステップに分けて解説します。
まず何を守るべきかを明らかにする
準拠に向けた最初の、そして重要なステップは、保護の対象となる範囲、すなわち「カード会員データ環境(CDE)」を正確に特定することです。
まず、データフロー図の作成とCDEの定義に着手します。自社のネットワークやシステムの中で、どこでカード情報が「保存、処理、伝送」されているのかを一つひとつ洗い出しましょう。カード情報に接触する全てのシステム、担当者、ネットワーク機器がCDEに含まれます。そしてデータの流れを図に書き出すなどして、明確に文書化してください。
この最初のステップで、保護すべきCDEの範囲をいかに必要最小限に限定できるかが、その後の対策コストや運用負荷を決定づけるポイントです。たとえば、決済代行会社のトークン決済などを利用してカード情報の「非保持化」を実現すれば、自社のCDEを大幅に縮小できます。PCI DSS準拠の負担を、大きく軽減することも可能です。
不足している対策を一つずつ洗い出す
保護すべき範囲が定まったら、次はその範囲内の現状のセキュリティ対策と、PCI DSSが定める12の要件とを照らし合わせ、「何が不足しているのか(ギャップ)」を分析します。
約400にも及ぶPCI DSSの具体的な要求事項の一つひとつに対して、現状(As-Is)とあるべき姿(To-Be)を比較し、課題をリストアップする作業です。具体的には、次のような項目をチェックします。
- ファイアウォールの設定は適切か
- パスワードの管理ルールは守られているか
- ログはきちんと監視できているか
なおこのプロセスは、「ギャップ分析」と呼ばれます。
ギャップ分析は、自社の担当者だけで行うことも、不可能ではありません。ただPCI DSSの要求事項の解釈には、専門的な知識が必要です。より客観的で正確に評価するなら、外部の専門コンサルタントや審査機関(QSA)に依頼することが推奨されます。
守る仕組みを整えて日常業務に落とし込む
ギャップ分析で明らかになった課題を解決するための、具体的な対策(是正措置)を実施するフェーズです。
洗い出された課題には、放置すると即座に情報漏えいにつながる致命的なものから、文書の不備といった管理的なものまで、さまざまなリスクレベルのものが混在しています。全ての課題に一度に対応するのは難しいため、リスクが高いものから優先順位をつけて、計画的に対策を進めましょう。
この時に重要なのは、セキュリティ対策を「特別な作業」とせず、日々の業務プロセスの中に当たり前の業務(BAU:Business As Usual)として組み込むことです。たとえば、ログの確認を日次業務に、脆弱性スキャンを月次業務に組み込むなど、セキュリティを維持できる体制を日常に落とし込むことで、継続的な準拠が可能となります。
きちんと守れているかを自分たちで確かめる
対策を一通り実施したら、それがPCI DSSの要件を満たし、有効に機能しているかを自分たちで検証します。
検証作業では、各要件を満たしていることを証明するための客観的な証跡(エビデンス)を収集・整理しましょう。具体的には、次のようなものが証跡に当たります。
- ファイアウォールの設定内容
- パスワードポリシーの文書
- 従業員のセキュリティ教育の受講記録
- 脆弱性スキャンの結果レポート
さらに、多くの事業者に求められる「自己問診票(SAQ)」の作成もこの段階で行います。
SAQは、PCI DSSの要件に対して自分たちの対策状況が基準を満たしていることを、チェックリスト形式で回答し、その正当性を宣言する公式な文書です。自社の決済形態によって9種類あるSAQの中から、適切なタイプを選択して作成します。
評価や審査の準備を段階的に進めておく
最終ステップとして、PCI DSSに準拠していることを第三者に証明するための、公式な手続きに進みましょう。なお具体的な手続きは、先に紹介した企業の加盟店レベルによって異なります。
主な検証方法と、その際に作成・提出される主要な文書は以下の通りです。
| レベル | 主な検証方法 | 主要な文書 | 作成者 | 文書の内容 |
|---|---|---|---|---|
| レベル1 | 訪問審査 | ROC (準拠報告書) | 認定審査機関(QSA) | QSAが数百項目に及ぶ要件への準拠を客観的に評価・詳述した公式報告書。 |
| レベル2~4 | 自己問診 | SAQ (自己問診票) | 事業者自身 | 事業者が、自身の決済方法に応じた特定の質問票に回答し、準拠を自己宣言する文書。 |
レベル2以下の事業者:SAQ(自己問診票)の提出
年間取引件数が600万件以下の多くの事業者は、自己問診(SAQ)によって準拠を証明します。SAQには、決済方法に応じて複数の種類(タイプA、A-EP、Dなど)があり、自社に合った正しいタイプを選択することが重要です。
作成したSAQに、準拠を最終的に証明するAOC(Attestation of Compliance/準拠証明書)を添付し、契約しているカード会社や決済代行会社に提出することで、年次の準拠証明が完了します。
レベル1事業者:QSAによる訪問審査
年間取引件数が600万件を超えるレベル1事業者は、PCI SSCに認定された専門の審査機関(QSA:Qualified Security Assessor)による、厳格な訪問審査が義務付けられています。QSAは、中立的な第三者の立場で事業者を訪問。責任者へのヒアリング、規程文書やログなどの証跡レビュー、システムの動作確認などを通じて、準拠状況を詳細に評価します。
評価結果は、数十〜数百ページに及ぶ詳細な準拠報告書(ROC:Report on Compliance)としてまとめられ、カード会社へ提出される流れです。
PCI DSSに関するよくあるご質問
PCI DSSの準拠にはどれくらいの期間がかかりますか?
一概にはいえませんが、事業者の規模や現在のセキュリティ対策の状況によって、早くても数ヶ月、長い場合は1年以上かかります。これは、PCI DSS準拠が単一のタスクではなく、複数のフェーズからなるプロジェクトであるためです。
PCI DSS準拠のプロジェクトは、大きく分けて以下の3つのフェーズで進行します。
| フェーズ | 主な活動内容 | 目安期間 |
|---|---|---|
| フェーズ1 | 現状把握とギャップ分析 スコープ(対象範囲)を正確に特定し、約400の要求項目に対して何が不足しているかを専門家が徹底的に洗い出します。 | 1~3ヶ月 |
| フェーズ2 | 不足対策の実施(是正) 分析で見つかった課題を解決するため、ネットワークの再設計やシステムの導入、社内規定の策定、従業員教育などを行います。 | 3ヶ月~1年以上 |
| フェーズ3 | 審査・検証 対策完了後、レベル1事業者はQSAによる訪問審査を、レベル2以下の事業者は自己問診票(SAQ)とその証拠資料の準備を行います。 | 1~2ヶ月 |
上記3つのフェーズの対策完了後、レベル1事業者はQSAによる訪問審査を、レベル2以下の事業者は自己問診票(SAQ)とその証拠資料の準備を行います。
このように、各フェーズには相応の期間が必要です。特にフェーズ2の是正活動は、大規模なシステム改修が必要な場合には、開発リソースの確保や予算策定にも時間がかかります。それに伴い、プロジェクトが長期化する傾向です。
またフェーズ1での分析が不正確であった場合、後の対策が無駄になる可能性があります。フェーズ1のスコープ定義とギャップ分析を慎重かつ丁寧に進めることが、最短の期間で成し遂げるポイントです。
小規模な事業者でも対応は必須ですか?
はい、事業規模にかかわらず必須です。ただその理由は、単に「中小企業も攻撃ターゲットになっているから」という点に留まりません。クレジットカード決済システム全体が、相互の信頼関係で成り立つ「信用の鎖(トラストチェーン)」で結ばれているためです。
クレジットカード決済は、カード会員、事業者(加盟店)、決済代行会社、カード会社など、多くのプレイヤーが関わることで成立しています。この一連のつながりの中で、もし一社でもセキュリティ対策が不十分な事業者がいれば、そこが「最も弱い輪(ウィーケスト・リンク)」となり、鎖全体が危険にさらされます。
攻撃者は、セキュリティ投資が潤沢な大企業よりも、対策が手薄になりがちな中小企業を意図的に狙い、そこを踏み台にして、より大きな金融システム全体への攻撃を仕掛ける傾向があります。帝国データバンクの調べによれば、中小企業が30.3%、そのうち小規模企業の28.1%が、サイバー攻撃を受けていることがわかりました。
全ての事業者に等しくPCI DSS準拠が求められるのは、この信用の鎖のどこにも弱い輪を作らせないため、という決済システム全体の安全を確保する目的があるためです。
また万が一、情報漏えいを起こしてしまった場合、その損害賠償や罰金、信頼回復にかかるコストは、企業の規模に関係なく発生します。体力のある大企業であれば、深いダメージを負っても持ちこたえられることもあるでしょう。しかし資本規模が小さい中小企業の場合、一度のインシデントでも事業の継続を不可能にする致命傷になりかねません。
もちろん、中小企業にとってPCI DSS準拠自体が過大な負担にならないよう、配慮もされています。具体的には、次の通りです。
- 準拠証明を簡素化できる「自己問診票(SAQ)」の仕組み
- カード情報に触れないことで準拠範囲を大幅に縮小できる「非保持化」
これらの仕組みを賢く利用すれば、中小企業も効率的に安全を確保できます。
PCI DSSは毎年更新しなければなりませんか?
はい、毎年必ず更新が必要です。PCI DSS準拠は、一度達成すれば終わりという静的な証明書ではありません。むしろ、変化し続ける事業環境と脅威に対応し続ける、動的なセキュリティプロセスが正しく機能しているかチェックするための年次の健康診断です。
攻撃者は日々、新たな脆弱性を探し、新しい攻撃手法を開発しています。去年は安全だったシステム構成やソフトウェアが、今年には深刻な脅威にさらされる、ということは珍しくありません。年次更新は、こうした新しい脅威に対して、自社の防御策が依然として有効であることを確認する重要な機会となります。
企業活動もまた、新しいサービスの開始、システムのアップデート、従業員の入退社や役割変更、オフィスの移転など、絶えず変化しています。これらの内部的な変更が、意図せず新たなセキュリティホールを生む危険性がないかを定期的に総点検し、セキュリティ対策を現状に合わせて最適化することが重要です。
また年に一度の準拠証明(ROCやSAQの提出)は、いわば健康診断の結果報告書です。その報告書を作成するために、一年を通じた継続的な健康管理が欠かせません。具体的には、以下のような活動が日常的に行われていることが前提となります。
- 継続的な監視:ログの定期的なレビューや、ファイアウォールルールの定期的な見直し。
- 定期的なテスト:認定ベンダー(ASV)による四半期ごとのネットワークスキャンや、定期的な内部脆弱性スキャン。
- 変更管理:システムの構成変更時に、セキュリティへの影響を評価するプロセスの実施。
- 教育と訓練:新入社員へのセキュリティ教育や、全従業員を対象とした年次の意識向上トレーニング。
持続的に高いセキュリティレベルを維持し、顧客や取引先に対して「常に安全であること」を示し続けるために、年次更新だけではなく定期的なセキュリティ対策活動が重要です。
クレジットカード決済のセキュリティが不安ならネクストハンズ
PCI DSSが、クレジットカード決済を導入する全ての事業者にとっていかに重要であるか、おわかりいただけたでしょう。
しかし同時に、要求事項の多さや専門性の高さから、「自社だけでこれを実現するのは、あまりにも大変だ」「12の要件、約400もの要求事項を前に、どこから手をつければいいのか…」と感じられたのではないでしょうか。
株式会社ネクストハンズは、ECサイトの開業支援から、スマートフォンだけでホームページが作成できるアプリのようなSaaSサービスの開発・運営まで、幅広いソリューションでビジネスの成長を支援する企業です。特にオンラインビジネスの成功に不可欠な「決済」の領域において、事業者の皆様が抱える複雑なセキュリティ課題に寄り添い、最適な解決策をご提案しております。
クレジットカード決済の導入でセキュリティ対策が不安な方はネクストハンズにお問合せください。
お問い合わせはこちら