TOPセキュリティ > カード業界のセキュリティ基準、PCI DSSの概要(中)

セキュリティ

カード業界のセキュリティ基準、PCI DSSの概要(中)

2020/08/19

Josh Fruhlinger CSO

 PCI DSS(Payment Card Industry Data Security Standard)とは、クレジットカードやデビットカードのセキュリティに関する統一的な基準で、カードやその所有者の情報を守るためのサイバーセキュリティの統制や業務手法について定めている。VisaやMasterCardをはじめとするカードブランド5社が設立したPCI Security Standards Councilという組織が管轄しており、カード情報を取り扱う各社はこれに準拠する必要がある。PCI DSSの要件を満たしていることの証明は、自己問診や審査などの方法により行う。きちんと準拠していない企業や、違反が見つかった企業は、罰金を科される場合がある。

前回から続く)

PCI DSSの罰金

Credit: IGphotography / Getty Images

 加盟店は、決済代行業者と契約を結ぶ時点で、PCI DSSへの準拠を維持できなかった場合には罰金の対象となることに同意する。その額は決済業者ごとに異なり、決済が多いほど高額になる。一般的な金額を示すのは簡単ではないが、米IS Partnersのブログ記事には、ある程度の範囲が示されており、違反期間が長いほど1カ月あたりの罰金が上がるという例が出ている。違反期間が3カ月だった場合は月当たり5000ドル、7カ月に及んだ場合は月当たり5万ドルといった具合だ。また、データ流出が発生した場合、何らかの点で影響した顧客1人につき、50~90ドルの罰金が科される。

 前述したとおり、ここで言う罰金とは、例えば法令違反や交通違反で科される罰金と同列のものではなく、加盟店、決済代行業者、カードブランドの間の契約で定められている。通常は、カードブランドが決済代行業者に罰金を科し、その業者が加盟店に罰金を科すという構図になる。一連のプロセスは、必ずしも刑事裁判と同じ基準や証拠に則してはいないが、対立の決着が民事裁判に持ち込まれる事例はある。

↑ページ先頭へ