こんにちは。ソリューションSec 西川です。

弊社では決済代行事業を営むお客様のシステムも対応させて頂いておりまして、PCI-DSSの準拠実績がございます。

PCI-DSSとは？

クレジットカード会員データを安全に取り扱う事を目的として策定された、クレジットカード業界のセキュリティ基準です。クレジットカード情報を保持、処理、伝送する全ての企業が取得対象になります。
Payment Card Industry Data Security Standardの頭文字をとったもので、国際カードブランド5社(American Express、Discover、JCB、MasterCard、VISA)が共同で設立したPCI SSC(Payment Card Industry Security Standards Council)によって運用、管理されています。

要するに、クレジットカードデータを取り扱う際の国際基準みたいなものです。

なぜこれが必要なのか？

大きな要因としては2016年の割賦販売法の改正です。

東京オリンピック開催に向け、インバウンド需要におけるセキュリティ強化とキャッシュレスの普及化などを目的に法改正され、EC（非対面）加盟店には2018年3月末を期限に、対面加盟店には2020年3月を期限に、「PCI DSSの準拠」または「カード情報の非保持化」のいずれかの対応が求められることになりました。

一般的なECサイト事業者などは「カード情報の非保持化」（トークン方式での決済など）によってこの問題は回避できるのですが、決済代行事業者などのサービスプロバイダ側はそういうわけにもいきません。

取得することによって？

・最新のセキュリティ基準に則ってクレジットカード情報を取り扱っていることをアピールでき、信用やブランドの向上につながります。

・ハッカーやクラッカーによる不正アクセスから自社のシステムを守り、改ざんや悪用、情報盗用のリスクを低減できます。

・PCI DSSに準拠した事業者からクレジットカード情報が漏えいし不正使用された場合は、クレジットカード会社からのペナルティが免責される場合があります。

取得時の概要

到底すべては書ききれない程のボリュームがあるので概要だけご紹介しますが、クレジットカードデータ保護という観点において大きく12の要件に準拠していることを証明する証跡を準備し、認定セキュリティ評価機関(QSA)の訪問審査を受けます。

また、日常的な情報管理の徹底が求められ、 年４回は内部・外部脆弱性スキャンを受けること、半年ごとにネットワークセグメンテーションのテスト実施、年１回はペネトレーションテストの実施やQSAによる定期監査などなど…様々な対応が必要になります。もちろん、スキャンやテストはASVと呼ばれる認定スキャンベンダーに実施してもらう必要があります。

最後に

クレジットカード決済をご利用中のECサイト事業様や決済事業者様は情報保護対策として、「カード情報の非保持化」または「PCI-DSSの準拠」がすでに必要となっておりますので、お困りの際はぜひ一度ご相談ください。