PCI準拠完全ガイド
現代では、インターネットがあらゆるものとなっている。生活、食事、交通、教育など、様々なことがオンラインで予約や購入できる。オンラインサイトや加盟店で支払いを行う機会も多く、カード情報を入力する際、その安全性が問われる。PCIは、オンラインで利用されるクレジットカードやデビットカードの安全を守る仕組みである。
PCI DSS(Payment Card Industry Data Security Standard)は、カード決済を扱う組織に求められる一連の基準やルールである。一見シンプルに感じられるが、適切に管理されなければ問題が生じる可能性がある。必要な機器やツールが整っていない組織にとって、PCI準拠は大きな課題となることもある。
本記事では、PCI準拠の基本、前提条件、そして組織がPCI準拠を実現し、しっかりとしたネットワーク安全体制を守るための方法について解説する。始める前に、PCIの目的はシステムを表示して承認することではなく、カード利用者のデータを有害な脅威から守ることにあると認識してほしい。
PCI準拠とは?
クレジットカードやデビットカードがオンラインで使われ始めたとき、不正利用に対する保証策が必要とされた。販売業者やサイトは、現金を受け取るのと同様に支払いを扱う際、カード情報を守る義務があるのだ。
当時、ネットワーク安全の専門家はカード情報を守る必要性を認識していたものの、その方法がはっきりしていなかった。主要なカード会社は、特にこの重要なデータの保護に懸念を持ち、各社がカード利用者を守るための独自のセキュリティ基準を作成した。
初めは各組織が独自の社内データ保護プログラムを運用していたが、共通の準拠基準が示されたことで、それらが一つの体系に統合された。PCI準拠バージョン1.0は2004年に発表された。
現行の準拠要求は2018年に作成されたバージョン3.2.1である。PCI準拠の権威は2006年に設立されたPCI Security Standards Councilで、オンライン時代の新たなネットワーク脅威に対して、組織がどのようにカード利用者を守るかを定める国際団体である。PCIはカード利用者の情報を守ることに加え、万が一のセキュリティ侵入時に被害を抑えるための指針でもある。
Verizonの2018年Payment Security Reportによれば、PCI DSSはカード決済の安全体制にとって、カード情報の保護以外にも様々なメリットをもたらす確かな仕組みと認識されている。VerizonのPCI利用加盟店の調査では、約49%がPCI DSS基準を守ることで、EU一般データ保護規則など他の情報保護要求にも対応していたことが示された。
PCI準拠は絶対的な安全性を保証するものではない
PCI準拠を達成したからといって、組織が完全に安全な運用を実現できるわけではない。単なるシステムチェック以上の意味があるのだ。しかし、PCI準拠は正しい方向へ進むための一歩である。内部のセキュリティおよび準拠チームが、PCI準拠を全体のセキュリティ戦略の一部として着実に実施するよう努めることが重要である。
世界中で準拠導入の考え方は様々なため、複数のPCIレベルが存在する。PCI準拠の仕組みを理解することで、組織は潜在的な脅威やセキュリティ体制の現状を把握しやすくなる。
PCI準拠が必要な対象は?
組織がMastercardのデータを扱う、保存する、または送信する場合、PCI DSSを採用し、その基準を遵守する必要がある。
PCI準拠を怠った場合の罰則は?
PCIは法律上の規定ではないが、カード発行会社はカード利用者の安全に十分留意する必要がある。発行会社は、情報漏洩などの事態において、PCI基準を守らなかった加盟店に対して罰金を科す可能性がある。これにはカードの再発行費用や各取引ごとの追加料金などが含まれ、通常は加盟店と発行会社の契約条件により5,000ドルから100,000ドルに及ぶ。
罰金に加え、加盟店は現地調査を受け、準拠レベルが引き下げられる可能性もある。従って、発行会社に対してPCI準拠の取り組みを伝え、罰則を回避する方法を確認することが求められる。
PCI準拠へのステップバイステップガイド
現在の準拠レベルは?
実際、小規模な事業での情報漏洩は、大規模な小売店と比べ影響が少ない場合がある。しかし、漏洩するデータの種類によって、組織は以下の4つの異なるPCI準拠レベルのいずれかに分類される。
レベル1: 年間600万件以上の取引を扱う加盟店、または情報漏洩が発生した加盟店。カード会社は監視により加盟店をレベル1に変更できる。
要件
- 文書化されたレベル1の現地調査 – QSAまたは社内担当者による年次Report on Compliance (ROC)
- 四半期ごとにApproved Scan Vendor (ASV)によるスキャン実施
- 現地調査に対するAttestation of Compliance (AOC)の完了
レベル2: 全体で年間100万~600万件の取引を扱う加盟店。
要件
- 年次PCI DSSセルフアセスメント・クエスチョネア(SAQ)の完了
- ASVによる四半期スキャンで合格の確認
- SAQに基づいたAOCの完了
- SAQ、AOC、その他関連書類を発行会社に提出
レベル3: 現在、年間20,000件~100万件の取引を扱う加盟店。
前提条件
- 年次PCI DSSセルフアセスメント・クエスチョネア(SAQ)の完了
- ASVによる四半期スキャンで合格の確認
- SAQに沿ったAOCの完了
- SAQ、AOC、その他関連書類を発行会社に提出
レベル4: 現在、年間20,000件未満のオンライン取引を扱う加盟店、または年間最大100万件の取引を計画している加盟店。
前提条件
- 年次PCI DSSセルフアセスメント・クエスチョネア(SAQ)の完了
- ASVによる四半期スキャンで合格の確認
- SAQに沿ったAOCの完了
- SAQ、AOC、その他関連書類を発行会社に提出
レベルの区分はシンプルで、取引件数が多いほど準拠レベルは高くなる。ただし、加盟店は状況に応じてレベル4からレベル2、もしくは常にレベル3へと移行することがある。これは事業の成長速度や取引件数に依存する。
レベル
| レベル | 貴社の取引件数 | 貴社の対応 |
|---|---|---|
| レベル4 |
|
|
| レベル3 | 年間20,000件~100万件の取引 |
|
| レベル2 | 年間100万~600万件の取引 |
|
| レベル1 | 年間600万件以上の取引 |
|
PCI DSS 3.2の要件とセキュリティ基準
安全な組織とセキュリティ体制の構築
- カード利用者の情報を守るファイアウォールの設置と定期的なメンテナンス
- システムパスワードやその他のセキュリティ設定に、加盟店提供の初期設定を使用しない
カード利用者のデータの安全確保
- アクセス可能なカード利用者情報の保護と保存
- 公開ネットワーク利用時は、カード利用者情報の送信を暗号化する
脆弱性評価プログラムの実施と運用
- 全システムをマルウェアから守り、悪意あるプログラムやツールに対して定期的なアップデートを行う
- 本目的に適した安全なシステムとアプリの構築・維持
強固なアクセス制御の導入
- カード利用者情報へのアクセスは、必要な場合のみ許可する
- システム各部へのアクセスの識別と認証
- カード利用者情報への実際のアクセスを制限する
ネットワークやシステムの定期的な監視とテスト
- カード利用者情報にアクセス可能なシステムや資産の追跡・監視
- 構築したシステム・プロセスの定期テストの実施
情報セキュリティ方針の維持
さまざまな職種におけるデータ安全のためのポリシーの策定と維持
監査担当者にPCI準拠を示す
組織がPCI準拠を実施していることを示すためには、QSA、ISA、ROC、SAQの4項目が必要である。
- Quality Security Assessor (QSA): QSAは各組織に対してPCI監査を行う資格を持つ担当者であり、組織の年次PCI QSA評価が準拠実績を示す重要な機会となる。
- Internal Security Assessor (ISA): ISAは、組織内でPCI準拠の取り組みを管理する担当者であり、PCI認証を保持して自己監査を実施できる。
- Report on Compliance (ROC): ROCは、年間600万件以上の取引を扱うレベル1の加盟店に必要となる場合があり、PCI運営団体が定めたフォーマットに基づき、一定の安全性を維持していることを示す。情報漏洩や不正利用のリスクが高いため、厳格な管理が求められる。
- Self-Assessment Questionnaire (SAQ): SAQは組織がPCI準拠の状況を評価するためのチェックリストであり、加盟店はPCI要求事項に対する自己評価を実施する必要がある。どのSAQを実施するかは、加盟店の種類やVisa決済の処理方法によって異なる。例えば、決済処理をPCI DSS準拠の外部業者に委託している場合、該当するチェック項目が変わる。
SAQの種類を確認する
SAQ Aは、カード非提示型加盟店(eコマース、メール/電話注文、MOTO決済)で、カード情報の全てをPCI準拠の外部決済業者に委託し、自社システムで処理、保存、送信を行わない場合に適用される。SAQ AではASVスキャンは不要である。
SAQ A-EPは、eコマース加盟店でカード情報の全てを外部決済業者に委託しているが、ウェブサイトがオンライン決済の安全性に影響を及ぼす場合に適用される。加盟店は自社システムでカード情報を処理、保存、送信しない。SAQ A-EPではASVスキャンが必要である。
SAQ Bは、eコマース以外の加盟店で、手入力式端末のみを使用し、電子的なカード情報の保存を行わない、または電話回線に直接接続する基本的なダイヤルアウト端末を利用する場合に適用される。SAQ BではASVスキャンは不要である。
SAQ B-IPは、単体型のPIN取引セキュリティ(PTS)POS端末を使用し、外部決済業者とIP接続を行い、電子的なカード情報の保存を行わない加盟店に適用される。SAQ B-IPではASVスキャンが必要である。
SAQ Cは、eコマース以外で、インターネット接続決済アプリを使用し、電子的なカード情報の保存を行わない加盟店に適用され、ASVスキャンが必要である。
SAQ C-VTは、eコマース以外の加盟店で、PCI準拠の外部決済業者が提供するウェブ型仮想決済端末を使用する場合に適用される。
SAQ P2PEは、eコマース以外の加盟店で、認証されたPCI SSC登録のポイント・ツー・ポイント暗号化(P2PE)決済ソリューションに準拠したハードウェア決済端末を使用し、電子的なカード情報の保存を行わない場合に適用される。
SAQ Dは、決済業者と直接契約し、自社でカード情報を保存している加盟店、及びカードブランドからSAQ実施が求められる全ての決済業者に適用される。
SAQの種類
| SAQの種類 | 対象条件 |
|---|---|
| A | カード非提示型加盟店。全てのカード処理を外部に委託し、電子的保存を行わない |
| A-EP | 支払い処理のために外部サイトへリダイレクトするeコマース加盟店。電子的カード情報保存はなし |
| B | 手入力端末のみを使用する加盟店。電子機器やカード情報の保存は行わない |
| B-IP | スタンドアロンのIP接続決済端末を利用する加盟店。eコマースや電子的カード情報保存は行わない |
| C | インターネット接続決済アプリを利用する加盟店。eコマースや電子的カード情報保存は行わない |
| C-VT | ウェブ型仮想決済端末を利用する加盟店。eコマースや電子的カード情報保存は行わない |
| D-MER | その他のSAQ対象加盟店に必須 |
| D-SP | 全てのSAQ対象サービスプロバイダーに必須 |
| P2PE | 認証されたPCI P2PEソリューションに準拠したハードウェア決済端末のみを利用。eコマースや電子的カード情報保存は行わない |
PCI準拠チェックリスト
これらの対策は、ファシリテートされた決済システムを利用しない加盟店における年次のPCI準拠対策として重要であり、四半期ごとにASVによるセキュリティスキャンも実施する必要がある。
- カード情報が扱われる、またはCDEに接続されるサイトの年次リスク評価を実施する。
- カード情報を保存、処理、送信する、またはCDEに接続する外部業者が、PCI DSS準拠であり、各カードブランドに登録されていることを確認する。
- サイトで外部決済アプリを利用する場合、使用中の製品とプロセスがPA DSS準拠であることを確認し、提供業者の規定を厳守する。
- スタッフにPCI-DSSの手順を周知させる。
- 必要最低限の決済情報だけを保持し、全ての決済情報は公開ネットワークで送信時に暗号化する。
- 貴社のeコマース CDEへのアクセスを監視・制御するセキュリティ対策を導入する。
- 信頼できるメーカー製のファイアウォールや最新のウイルス対策ソフトを設置・運用し、機密カード情報を守る。
- ショッピングカート連携が最適なバージョンであることを確認する。
- ウェブホスティング事業者と連携し、システムが適切に構成されているか確認する。加盟店は、ホスティング環境が最新のセキュリティ基準を満たし、デフォルト設定が無効化されていることを確実にする。
- 年次のPIN入力端末(PED)テスト、およびCDEに重大な変更があった場合のテストを実施する。
- 取引処理に利用する製品や機器の販売業者が、Payment Card Industry Security Standards Council(PCI SSC)の認証を受けていることを確認する。
結論
PCI準拠は、カード決済を行う事業において欠かせない要素であり、信頼性向上に寄与する。PCI準拠を実施することで、顧客からの信頼が増し、罰金や追加費用といったリスクを回避できる。確かにPCI準拠の徹底には手間やコストがかかるが、消費者や金融機関からの評価向上には大いに役立つ。カード決済を扱う全ての事業は、PCI準拠に注意を払い、情報漏洩のリスクを防ぐべきである。
FAQ
参考資料
最新情報を購読
