PCI DSSとは？認証取得のメリットや目的、最新v4.0での要件について解説

PCI DSSとは、クレジットカードの会員データを安全に扱うための、国際的なセキュリティ基準のことです。

ここでは、PCI DSSとはどのような基準なのか、策定された背景などについてご説明します。

PCI DSSは、日本カード情報セキュリティ協議会の『PCI DSSとは』によると、次のように定義されています。

以下の世界的なクレジットカード大手5社が、共同で策定しています。

・American Express
・Discover
・JCB
・MasterCard
・VISA

クレジットカードは、American ExpressやJCBなど複数の種類があります。複数のクレジットカードを扱う場合、個々のセキュリティ基準を満たす必要があり、カード加盟店に大きな負担が生じていました。

一方で、インターネットの普及によりネットショッピングの利用が急増し、クレジットカード決済の需要が高まり、グローバル化が加速していきました。その反面、サイバー攻撃によるリスクが増加し、クレジットカード情報の盗難や不正アクセスなどの被害も、世界的に増加の一途をたどっていたのです。

そこで、クレジットカード利用のリスクを減らし、加盟店の負担をおさえるために、国際カードブランドの5社がクレジットカードのセキュリティ基準を統一したのです。

2005年には、アメリカの決済処理代行事業者の約4,000万件ものカード情報が盗難にあう被害が起こりました。この事件をきっかけに、アメリカでPCI DSSが広まったといわれています。

▽あわせて読みたい▽
＞＞サイバー攻撃とは？種類や日本での被害事例、対策について解説しますのページへ

この基準の対象となるのは、カード会社やカード加盟店、決済処理代行事業者など、クレジットカード情報の保管、処理、伝送を行う組織すべてです。

たとえば、上記の要件を満たす百貨店やスーパー、量販店、鉄道会社、航空会社、携帯電話会社、通信会社などが準拠しています。

PCI DSS認証を取得すると、以下のようなメリットを得られます。

もっとも大きなメリットは、クレジットカード情報に対する不正アクセスなどのリスクが低減されることです。

たとえば、ECサイトのクレジットカード決済を使用した際に、サイトがハッキングされ、クレジットカード情報を盗まれることがあります。カード情報が盗まれると、不正にカードが利用され、多額の損害を被る可能性もあるのです。

PCI DSSに準拠するためには、国際的な基準に沿ったセキュリティ対策を行っているか審査を受ける必要があります。大規模事業者の場合は、一定の基準を満たしているか、審査機関による審査を受けなければなりません。中規模事業者の場合は、定期的にサイトのスキャンを行い、サイトに侵入されて情報を盗みとられないか、サイトの脆弱性がないかなど確認する必要があります。

このような審査基準をクリアすることで、カード利用に関するセキュリティレベルが向上し、セキュリティリスクが低減されるでしょう。

PCI DSS認証を取得することで、企業としての社会的信用やブランド価値が向上するというメリットもあります。

厳しい基準をクリアして、その状態を維持することはむずかしい面もありますが、国際的なセキュリティ基準であるPCI DSSをクリアしていることを公表できます。これにより、安全にクレジットカードを使えることを内外にアピールできるのは、大きなメリットです。

ユーザー側としても、安心してクレジットカードを利用できるECサイトや店舗を利用したいと考えています。国際的なクレジットカード基準を満たしていることを強みに、同業他社よりも事業を有利に展開できる可能性が十分にあります。

PCI DSSに準拠していれば、一定の条件の下で不正アクセスやカード情報の盗難などが発生した際に、損害賠償が免除されるケースもあります。

クレジットカード加盟店などからクレジットカード情報が流出し、第三者に不正使用されてしまうリスクも考えられます。クレジットカード会社から損害賠償を要求された場合、PCI DSSに準拠していれば、損害賠償が免除される可能性があるのです。

普段からセキュリティ対策を万全にしていても、サイバー攻撃を受けてしまう可能性は十分にあるでしょう。万が一のことを考えると、PCI DSSに準拠しておくことをおすすめします。

PCI DSSには、6つの目的と12の要件があります。準拠するためには、これらの目的と要件を理解しておくことが重要です。

なお、最新バージョンのPCI DSS v4.0は2025年4月以降に適用されますが、v3.2.1からv4.0への移行時にはシステムや運用の変更が必要になることも想定されます。はやめに変更点の洗い出しや対応を行う必要があるでしょう。

ここでは、最新版であるPCI DSSv4.0に対応した以下のPCI DSSの6つの目的と、それぞれに対する要件についてご紹介します。

【PCI DSSの6つの目的】

・安全なネットワークとシステムの構築と維持
・アカウントデータの保護
・脆弱性管理プログラムの維持
・強力なアクセス制御手法の導入
・ネットワークの定期的な監視およびテスト
・情報セキュリティポリシーの維持

安全なネットワークとシステムを構築、維持するために必要な要件は、以下のとおりです。

・要件1：ネットワークのセキュリティコントロールを導入し、維持する
クレジットカード情報を保持するサーバーや、ECサイトを管理するサーバーなどが含まれるネットワークは、ファイアウォール以外にも仮想化、コンテナやクラウドアクセスコントロールなどのネットワークセキュリティコントロール（NSC）によって守る必要があります。

・要件2：すべてのシステムコンポーネントに安全な設定を適用する
サーバー機器やネットワーク機器、Webサーバーなどに設定されている、初期パスワードや初期設定をそのまま使用すると、セキュリティリスクが高まります。その製品の初期パスワードや設定内容の規則性が知られるなどして、パスワードや設定が簡単に見破られてしまう可能性が高いからです。そのため、機器の使用時には、パスワードや設定を初期設定から変更しなければなりません。その他にも安易なID・パスワードの組み合わせやシステム構成要素の不適切な設定は避けるべきでしょう。

クレジットカード会員のアカウントデータを保護するために必要な要件は、以下のとおりです。

・要件3：保存されるアカウントデータを保護する
アカウントデータは、暗号化やハッシュ化などの手段により、安全に保護する必要があります。また、不要な情報を保存しないなどのリスク軽減策も重要です。例えば、サービス提供するうえで完全なPAN情報が不要なのであればデータを切り捨てるなどの対応があります。

なお、最新のv4.0では、保護する対象が「カード会員データ」から「アカウントデータ」に変更されたため、システム変更が必要な場合があります。

・要件4：オープンな公共ネットワークでカード会員データを伝送する場合、強力な暗号化技術でカード会員データを保護する
インターネットや無線ネットワークなどで、クレジットカード番号などの情報を送受信する場合は、暗号化する必要があります。

システムやネットワーク機器の脆弱性管理を行う際の、脆弱性管理プログラム整備に関する要件は、以下のとおりです。

・要件5：すべてのシステムとネットワークを悪意のあるソフトウェアから保護する
マルウェア対策として、ウィルス対策ソフトウェアなどをインストールし、定期的に更新を行い、つねに最新の状態にしておく必要があります。最初に導入するだけでは、導入後に登場した新たな脆弱性への対処ができません。そのため、定期的に更新して、最新の脆弱性につねに対応しておく必要があります。

また、最新のv4.0では、フィッシング攻撃を検出・防御するためのプロセスと自動化されたメカニズムの実装が求められるようになります。

・要件6：安全性の高いシステムおよびソフトウェアを開発し、保守する
システムやソフトウェアは、安全性の高いものを開発する必要があります。また、すべてのシステムコンポーネントは、適切なセキュリティパッチを迅速に適用して、つねに最新の状態にしておかなければなりません。

なお、最新のv4.0では、一般公開しているWebアプリケーションへのWAFの導入が必須になります。

▽あわせて読みたい▽
＞＞脆弱性とは？その種類や放置する危険性、正しいセキュリティ対策について解説のページへ

アクセス制限手法に関する要件は、以下のとおりです。

・要件7：システムコンポーネントおよびカード会員データへのアクセスを、業務上必要な適用範囲に制限する
カード情報その他の重要データへのアクセスは必要最小限の範囲に（Need to Know）、やはり必要最小限の権限で許可するシステムとプロセスが必要です。また、アカウントを共有しないなどの厳密な管理も必要です。

・要件8：ユーザーを識別し、システムコンポーネントへのアクセスを認証する
カード情報の管理者のユーザー認証を行う際には、個別にアカウントを割り当てるとともに、知識情報（パスワードなど）、所持情報（トークンなど）、生体情報（指紋などの生体認証）の組み合わせによる認証を行います。

なお、最新のv4.0では、すべてのカード会員データ環境に多要素認証を実装することが求められるようになるなどの変更が生じています。

・要件9：カード会員データへの物理的なアクセスを制限する
カード情報が格納されているサーバールーム、ビルなどへの物理的なアクセス制限として、部屋に施錠を行う、監視カメラを設置する、入退室の記録をするなどが必要です。

ネットワークに対する定期的な監視とテストに関する要件は、以下のとおりです。

・要件10：システムコンポーネントおよびカード会員データへのすべてのアクセスを記録し、監視する
カード会員のデータへのアクセスを追跡、監視し、不正アクセスの検知や追跡ができるようにログ管理を行います。誰が、いつ、何をしたのかのログ情報を取得、保管し、分析できるようにしておきます。

また、最新のv4.0では、ログ分析などの際に自動化されたメカニズムの使用が求められるようになります。

・要件11：システムおよびネットワークのセキュリティを定期的にテストする
システムやソフトウェア、プロセスを定期的にテストし、新たなリスクを検知して修正を行う必要があります。具体的には、四半期に一度の脆弱性スキャンや、ペネトレーションテストなどが求められます。

なお、最新のv4.0では、内部脆弱性スキャンにおいて認証スキャンを実施することが求められるようになります。

情報セキュリティポリシーの維持のための要件は、以下のとおりです。

・要件12：事業体のポリシーとプログラムにより、情報セキュリティを維持する
情報セキュリティポリシーを、正当なリスク評価手順にもとづいて運用する必要があります。また、インシデント発生時の手順をマニュアル化し、毎年テストすることも必要です。

なお、最新のv4.0では、各要件で求められる定期的な運用の実施頻度を、ターゲットリスク分析によって決定することが求められるようになります。

PCI DSS認証を取得するためには、以下の3つの方法があり、カード情報の取り扱い方法や規模によって異なります。ここでは、それぞれの方法について簡単にご説明します。

PCI国際協議会が認定した審査機関のQSA（Qualified Security Assessor）からの訪問審査を受けて、認証を得る方法です。

扱うカード情報の規模が大きい場合には、この方法で審査を受ける必要があります。

PCI国際協議会が認定したベンダーのASV（Approved Scanning Vendor）のスキャンツールにより、点検を受ける方法です。四半期に1回以上、定期的な点検を受ける必要があります。

扱うカード情報の規模が中規模で、インターネットに接続している場合は、この方法で審査を受ける必要があります。

PCI DSSの要求にもとづいてチェック項目に回答し、すべてが「YES」になっているかを自己問診する方法です。すべての項目で「YES」となっていれば、PCI DSSに準拠していると認められます。

扱うカード情報の件数が少ない一般加盟店などの事業者は、この方法で審査を受けます。

この記事では、PCI DSSについて、取得するメリットや目的と要求、取得方法などについて解説しました。

PCI DSSとは、クレジットカード業界の国際的な統一セキュリティ基準で、クレジットカードの会員データを安全に扱うためのものです。店舗の規模や扱うカード情報の規模によって、審査方法が異なるのが特徴です。

PCI DSS認証を取得することで、安全にクレジットカードを利用できることを示せます。ECサイトや店舗などでクレジットカード決済を行う場合は、認証を取得するとメリットを得られるケースもあります。

また、認証を取得すれば、クレジットカード情報やシステムのセキュリティ基準を高めることにつながるでしょう。

クレジットカード決済を行う事業者の方は、認証を取得するメリットと取得の手間やコストなどを比較して検討してみてください。