PCI DSSの認定の取得方法は？要件やメリットを解説

• PCI DSSは、クレジットカード情報を安全に取り扱うために策定された、クレジットカード業界のセキュリティ基準です。
• クレジットカードを扱う全ての事業者が適用対象となります。
• 企業のPCI DSSへの準拠は要件が厳しく費用もかかりますが、世界的には準拠する流れとなっている一方で、日本においては「カード情報の非保持化」対応を実施している事業者も少なくありません。

PCI DSSは、「PCIデータセキュリティスタンダード(Payment Card Industry Data Security Standard)」の略称で、国際カードブランド5社(American Express、Discover、JCB、MasterCard、VISA)が共同で設立したPCI SSC(Payment Card Industry Security Standards Council)によって運用、管理されています。

クレジットカードのセキュリティを強化推進する政府主導の取り組みである「クレジットカード・セキュリティガイドライン」（旧：クレジットカード取引におけるセキュリティ対策強化に向けた実行計画）が掲げる3本柱、「1.カード情報の漏えい対策」「2.偽装カードによる不正利用対策」「3.ECにおける不正利用対策」のうち、「1.カード情報の漏えい対策」として「PCI DSS準拠」または「カード情報の非保持化」が求められています。

クレジットカード決済の普及に伴い、カード会員情報や認証データ（カード裏面のセキュリティコード等）をめぐる不正利用・情報漏えいリスクが深刻化しました。こうした背景を踏まえ、カードブランドの発起により PCI Security Standards Council（PCI SSC）が主導して策定した国際的な情報セキュリティ基準が、PCI DSS（Payment Card Industry Data Security Standard）です。

本基準は、カード情報を「保管・処理・送信」するすべての組織に、最低限のセキュリティコントロールを義務付け、情報保護の水準を底上げする目的があります。

PCI DSS認定取得には多くの場合、膨大なコストと時間が必要となるため、クレジットカード加盟店でのPCI DSS準拠はハードルが高いことが実情です。初回の認証取得後も、継続してPCI DSSに準拠した運用を行う必要があり、毎年の更新が必要となります。

以下は一般的なEC加盟店を想定した概算です。

• 初期費用：数千万円～
• 運用のための費用：月数百万円～

技術的要件だけでなく、従業員教育、第三者管理、システム変更時の影響評価、運用記録の維持など、組織横断的な体制構築が必要となります。

• 最新のセキュリティ脆弱性への対応
• セキュリティ監視、記録、保管
• システムや業務の運用手順書の遵守
• 上記に伴う従業員教育
• 年1回の継続審査

多くの事業者が選択しているのは、クレジットカード決済をPCI DSS準拠事業者に委託する方法です。実行計画では、PCI DSS準拠事業者と提携し、「カード情報の非保持化」を行えば、カード情報の保護に対応したとされています。

非保持化について詳しく知りたいという事業者様は、下記のコラムをご覧ください。

カード情報を「保存、処理、または伝送する」企業であるカード加盟店、銀行、決済代行などを行うサービス・プロバイダーは、年間のカード取引量に応じてPCI DSSに準拠する必要があります。

• クレジットカード発行会社
• クレジットカード加盟店契約会社
• 決済代行業者等(決済代行会社、ECモール・ECシステム提供会社)
• コード決済事業者等(QRコード決済提供会社等)サービス・プロバイダー
• 加盟店

PCI DSS のセキュリティ要件は、カード会員データ環境に含まれる、または接続されるすべてのシステムコンポーネントに適用されます。カード会員データ環境（CDE）は、カード会員データまたは機密認証データを保存、処理、または送信する人、処理、およびテクノロジーで構成されます。「システムコンポーネント」には、ネットワークデバイス、サーバー、コンピューター、アプリケーションが含まれます。（以下略）

PCI DSSでは上記のように定義されています。難解ですが、おおまかには下記になります。

• クレジットカードリーダー
• POSシステム
• そのほかクレジットカード決済に関連するシステムとネットワーク
• クレジットカード情報を含む書類
• オンラインでの注文や支払い情報のデータ

自社のシステムだけでなく、委託先の業務やシステムも含まれることがあります。

PCI DSSでは、クレジットカード情報を安全に取り扱うために、6つの目標とそれに対応する12の要件のもと、具体的な約400項目もの要求基準が定められています。

PCI DSSの認定取得方法は、カード情報の取扱い形態や規模によって、いくつかの方法があります。いずれか1つの適用というわけでなく、カード情報の取扱い規模や事業形態によって、複数を実施する必要があります。

認定された審査機関(QSA=Qualified Security Assessor)による訪問審査を受けて、認証を取得します。カード発行会社など、クレジットカード情報の取扱い件数・金額が大きな事業者に、要請されている方法です。

自己問診とはセルフチェックです。チェックリストにそってPCI DSSの要求事項を確認し、すべて「Yes」であれば「PCI DSSに準拠している」と認められます。カード情報取扱い件数の比較的少ない一般加盟店などの事業者向けの方法です。

取り扱うクレジットカードブランド(VISA, MASTERなど)と、クレジットカード決済の取り扱い件数(年100万件未満, 2万件未満など)によって、PCI DSSにどのレベルで準拠する必要があるかは異なります。一例としてVISAの分類を紹介します。

※サービズプロバイダーは、年30万件以上でレベル1、年30万件未満でレベル2への対応が必要

年間のクレジットカード決済件数が2万件未満であれば「自己問診票(SAQ)」のみでPCI DSSに準拠できます。取り扱い件数が増え、2万件～100万件になると「自己問診票(SAQ)」に加え、「外部ネットワークの脆弱性スキャン」が必要になります。取り扱い件数がさらに増えれば、PCI DSS準拠に必要な条件は厳しくなります。

自己問診のチェック項目は約400もありますが、条件によっては最小22項目まで減らすことができます。全てのカード決済処理を外部委託するリンク型のクレジットカード決済を利用しているECサイトなどが該当し、「SAQ A」タイプと呼ばれます。

PCI DSSの要件に対するDGフィナンシャルテクノロジー（DGFT）での対応方法を紹介します。非常に専門的な内容になるので、全て読む必要はありません。ざっと目を通して「専門的で手間のかかる項目が多数ある」ということをご認識ください。

要件の項目数を限定すれば簡単にも思えるPCI DSS対応ですが、実際には非常に多くの工数が必要です。

カード会員情報の取り扱い範囲とPCI DSS準拠対応が必要な範囲を確定します。

自社のシステムや運用を確認し、PCIDSSの要求項目との「ギャップ分析」を行います。これに基づいて、必要な改善計画を策定します。

改善計画に基づいて、システムへの実装や運用の変更を行います。実装後は、改善を確認します。PCI DSSのすべての要件が満たされるように改善します。

「ASVスキャン」や「ペネトレーションテスト」によって脆弱性対応が完了していることをテストします。訪問審査に向けて、規程類や証跡を準備します。

QSAによる訪問審査を受けます。すべての審査にクリアするとPCIDSS準拠が認められます。準拠状態を維持する活動を継続します。

DGフィナンシャルテクノロジー（DGFT）は、決済代行サービスを提供する会社として日本で初めてPCI DSSに準拠し、以来多くの事業者さまのクレジットカード情報を預かり「カード情報の非保持化」ソリューションを提供しています。長年に渡って最新のセキュリティ基準への対応を続けています。

DGフィナンシャルテクノロジー（DGFT）の提供する決済システム「VeriTrans4G」のクレジットカード決済は、事業者様でクレジットカード情報を取り扱う必要のない、非保持・非通過化に完全対応。国際セキュリティ基準「PCI DSS」に完全準拠したシステムで、情報漏えいリスクを軽減します。

また、不正利用防止のため、3Dセキュア、セキュリティコード認証、不正検知ソリューションなど多彩なセキュリティオプションも提供。手間やコストを抑えて「クレジットカード・セキュリティガイドライン」の求めるセキュリティ基準に対応可能です。

これからクレジットカード決済システムを導入したい、現在の決済システムのセキュリティに不安がある、という事業者様はぜひお気軽にご相談ください。