TOPセキュリティ > カード業界のセキュリティ基準、PCI DSSの概要(上)

セキュリティ

カード業界のセキュリティ基準、PCI DSSの概要(上)

2020/08/17

Josh Fruhlinger CSO

PCI DSSの対象

 PCI Security Standards Councilのセキュリティ基準の中でも、PCI DSSは特に対象範囲が広く、カード会員のデータの保存、処理、伝送を行うすべての事業体に適用される。つまり、クレジットカード決済で商品の販売や寄付の募集などを行うあらゆる事業者が、この基準に従う必要がある。

 PCI DSSに準拠することは、あくまでセキュリティの土台に過ぎず、ハッキングを受けないという保証には決してならない。詳しい要件は後で見ていくが、準拠は単純ではなく、企業のセキュリティのすべての面が常に万全だと言い切ることは難しい。人によっては、PCI DSSの狙いについて、カード会社や決済処理企業がセキュリティ上の責任や侵害発生時の金銭的損失を加盟店に押し付けるための口実だと主張する人もいる。

PCI DSSの義務づけ

 PCI DSSへの準拠が義務づけられたのは、2004年12月15日にバージョン1.0が登場したときからだ(現行のバージョンは3.2で、次の4.0の策定も進んでいる)。だが、ここで言う「義務づけ」の意味についてまず明確にしておく必要がある。PCI DSSはセキュリティ基準であり、法令ではない。準拠の義務づけは、加盟店がカードブランドや決済代行業者と結ぶ契約で定められている。

 また、後で説明するように、PCI DSSへの準拠を自己問診という形で行う加盟店も多い。こうした加盟店の場合、通常は、準拠義務の不履行の責任を後から問われることになる。例えば、セキュリティ侵害が発生した後で、PCI DSSを正しく履行していなかったことが原因と判断された場合には、カードブランドや決済代行業者からの処罰の対象となり得る。加盟店にとっては、セキュリティを改善したことを有償の審査によって明確にする必要が生じる場合があるほか、罰金の対象となる可能性もある。また、大規模な企業の場合には、たとえセキュリティ侵害がなくても、第三者機関による審査が必要となり得る。

翻訳:内山卓則=ニューズフロント

↑ページ先頭へ