クレジットカード業界の情報セキュリティの課題:PCIデータセキュリティ基準は使えるか?(2)(1/2 ページ)
クレジットカードの情報セキュリティの基準となるPCIデータセキュリティ基準(PCI DSS:Payment Card Industry Data Security Standard)の具体的な要求基準を解説する。それと今後の課題を取り上げる。
前回の「クレジットカード業界の情報セキュリティを学ぶ」は、「PCIデータセキュリティ基準(PCI DSS:Payment Card Industry Data Security Standard)」の誕生の背景と概論、ほかのセキュリティ基準との違いに焦点を絞って説明した。今回はどのような業種や規模の会社にPCI DSSが必要とされるのか、さらに具体的な要求基準を解説する。
PCI DSSへの準拠の必要性
読者の皆さんが気にされるのは、クレジットカード情報保護の国際基準であるPCI DSSについて「自社は準拠する必要があるのか」ということではないだろうか。
PCI DSSの要求基準とプログラムのフレームワークは、VISA、Master、JCB、American Express、Discoverの国際カードブランドが設立する米国PCIセキュリティ基準審議会(PCI SSC)によって発行管理されている。その具体的な準拠の基準や期限などは各国、各リージョンにおけるカードブランドが決定し、推進することになっている。
まず自社のビジネスにおいてクレジットカードを取り扱っている場合は、原則すべての事業者がPCI DSSに準拠が必要であることを理解していただきたい。そのうえで、自社が加盟店なのかクレジットカードのサービスプロバイダなのか確認が必要である。加盟店は、加盟店を募集するカード会社(アクワイアラ)との契約関係があるので一目瞭然だが、サービスプロバイダは必ずしもアクワイアラとの契約関係がないこともあるため、認識しにくいケースがある。
サービスプロバイダのうち主に決済代行の事業者は、アクワイアラと複数の契約があるが、カード会員を募集するカード会社であるイシュアや加盟店のデータ処理を受託する事業者、ペイメントアプリケーションを提供するWebホスティングの会社などは、アクワイアラと直接契約はなくとも準拠の必要があると認識いただきたい。
準拠の確認方法は全ブランドで統一されている。下記の表のとおり主に3つの確認方法があり、クレジットカード情報の取扱件数によりこれらを組み合わせて実施する。
| 種類 | 確認方法 |
|---|---|
| 自己問診(SAQ) | PCI DSSの12要件を年間1回セルフチェックする |
| 脆弱性診断 | PCI SSCが承認する認定スキャニングベンダ(ASV)から四半期に1回後ごとに脆弱性診断サービスを受ける。ただしVISA、Master、JCBいずれかのブランドを取り扱う加盟店については、一定数のIPアドレスまでは無料で実施してもらえる 承認を受けているASVリスト |
| 訪問監査 | PCI SSCが承認する認定セキュリティ評価機関(QSA)から年間1回に訪問監査を受ける。費用は受審企業の負担となる 承認を受けているQSAリスト(リンク先はPDF) |
取扱件数による準拠性の確認方法の基準や期限はブランドごとに異なっている。代表的な例として2008年11月にVISAインターナショナルが発表したリリースによると次の表のとおりである。
| レベル | 加盟店の基準 | バリテーション要件 |
|---|---|---|
| 1 | Visaカードの取扱件数が年間600万件を超える加盟店(全チャネル)、もしくはVisaの特定の地域でレベル1と認定される加盟店 | 認定セキュリティ評価機関による年次遵守(じゅんしゅ)報告書 認定スキャニングベンダによる四半期ごとの脆弱性スキャン 遵守報告書 |
| 2 | Visaカードの取扱件数が年間100万件以上、600万件の加盟店(全チャネル) | 年次自己問診 認定スキャニングベンダによる四半期ごとの脆弱性スキャン 遵守報告書 |
| 3 | Visaカードのeコマース取扱件数が年間2万件以上100万件の以下の加盟店 | 年次自己問診 認定スキャニングベンダによる四半期ごとの脆弱性スキャン 遵守報告書 |
| 4 | Visaカードのeコマース取扱件数が年間2万件未満の加盟店、および取扱件数が年間100万円未満のそのほかすべての加盟店 | 年次自己問診(推奨) 認定スキャニングベンダによる四半期ごとの脆弱性スキャン 遵守報告書 |
なおこのリリースでは、レベル1加盟店のPCI DSSの遵守期限を2010年9月30日までと定めている。同期限を超えた場合は、VISAメンバーのアクワイアラがレベル1加盟店の遵守証明を提出しなかった場合は罰金などの何らかのリスク・コントロールが科せられると述べている。自社がどのレベルに当てはまるのかを把握し、アクワイアラに相談することが急務といえる。
またサービスプロバイダも同リリースにより、いままでレベル1は年間取扱件数が60万件以上だったのが、30万件以上に変更になっているため、いままではレベル2として自己問診と脆弱性診断のみで済んでいた事業者も2009年からは訪問監査が必要になる可能性もあるため注意していただきたい。
繰り返しになるが、すべての加盟店やサービスプロバイダがPCI DSSに準拠する必要がある。そのうえで前述の年間取扱件数に加え、次に記載する取り扱い形態により準拠の必要性や確認内容が異なるため以下の点に注意したい。
対面型かインターネット型か
加盟店の場合、実際に店舗を持つ「対面型」、仮想的な店舗を持つ「インターネット型」のどちらに当てはまるか、により確認方法の基準や自己問診における要求事項が変更する。
クレジットカード情報を情報システムにて伝送/処理/格納しているか?
大きなポイントは、「自社または自社が運営委託する情報システム」において、「クレジットカード情報を伝送/処理/格納しているか」である。
これは加盟店の特性が「インターネット型」に多く見られる。例えば、自社が運営するECサイトにおけるクレジットカード決済を完全に決済代行会社に委託しており、そのサイトを構成するすべてのネットワーク/サーバ/アプリケーション上にカード情報が一切伝送/処理/格納されなければ、その加盟店はPCI DSSに準拠する必要はない。制度上この状態(図1)を確認するのは加盟店が契約するアクワイアラであるとしている。
図1 クレジットカード決済を完全に決済代行会社に委託している場合におけるインターネット型の店舗でのクレジットカード決済の流れ決済代行の会社に依頼していても会員登録時の情報にクレジットカード情報がある場合(格納)や、図1のうち、「決済に必要なクレジットカード情報入力」(赤い部分)が自社のECサイト内にある場合(処理)はPCI DSSの準拠の必要性がある。たとえ自社のフロントエンドのWebサーバを通過するだけでもその対象になるので、毎回クレジットカード情報をユーザーに打ち込んでもらっても、システム上支障のないサービスや売上減につながる懸念はないということであれば、図1の取り扱い形態をとるサービスプロバイダに切り替えていく方がよりリスクが少なくなる。
PCI DSSの要求事項の中でもクレジットカード情報を伝送/処理/格納する範囲を少なくすることは推奨されており、上記のとおりその状態をゼロにしてしまえば、PCI DSSに準拠する必要がなくなるということである。
業種別の準拠動向
次に、PCI DSSに準拠が必要となる加盟店の業種は、どのようなものが当てはまるのだろうか。
自社が加盟店でない場合であっても、システムインテグレーションなどIT製品の開発/販売にかかわる事業を行っている場合は、自社の顧客がどの業種に属しているのかを参照することで顧客に先行して提案をし、新たなビジネスにつなげることも期待できる。当然のことながらクレジットカードの取扱件数が多い業種が事故発生の際の被害規模は大きくリスクの高い業種といえ、PCI DSSの準拠の必要性も高い。
- 石油(ガソリンスタンド)
- 通信(携帯/固定/ISP)
- オンラインゲームサイト
- EC(PC/モバイル)
- 流通(百貨店/スーパー/コンビニ)
- 交通(鉄道/航空)
- インフラ(ガス/電気/公共放送)
上記の業種のうち取扱件数では全世界、国内いずれも石油(ガソリンスタンド)業界が圧倒的に多い。大手の石油元売り各社はワールドワイドでの準拠を表明しており、国内でも石油連盟が積極的にPCI DSSを推進していることもあり、同業種に占める準拠の割合が最も高いといわれている。
次に通信業界に注目したい。携帯/固定キャリアやISPなど通信事業は毎月の課金を前提としていることから、督促を含む料金収納にかかるコストは他業種よりも高く、利用者に積極的にクレジットカードによる決済を推奨している。
また取扱件数(トランザクション数)は、ECサイトなど物販の場合1ユーザーによる1回のクレジットカードによる購買で1トランザクションになるのに対し、通信事業はサービスの特性上毎月課金となるため、クレジットカードを選択している1ユーザーに対し年間12トランザクションが発生している。
ただし、現在のところPCI DSSの完全準拠を表明している国内の大手通信キャリアは1社もいない状況であるため、業界としての積極的な推進が必要といえる。また鉄道や航空などは取扱件数が飛躍的に増加しているにもかかわらず、積極的な取り組み状況が明らかでない業種も少なからず存在し、これからPCI DSSに取り組むSI、ITベンダにもまだまだチャンスはあるといえる。
なお今後注目される業種は、インフラ、公共セクターである。格差社会が進み社会情勢が不安定になればなるほど、一般消費者向けの利用料金の回収コストは高くなるため、電気、ガス、水道はもとより、2008年からカード決済が可能となった国民年金など、今後は健康保険や子供の給食費などさまざまな分野でクレジットカードの利用が広がっていくと予測される。
Copyright © ITmedia, Inc. All Rights Reserved.
注目のテーマ
人気記事ランキング
- 管理職なら年収2000万円超え サイバーセキュリティという困難だが“もうかる仕事”
- “生成AI依存”が問題になり始めている 活用できないどころか顧客離れになるかも?
- Microsoft DefenderとKaspersky EDRに“完全解決困難”な脆弱性 マルウェア検出機能を悪用
- 生成AIは2025年には“オワコン”か? 投資の先細りを後押しする「ある問題」
- AI市場は約7000億円規模に 2024年以降の成長率はどう推移する? IDC予測
- 投資家たちがセキュリティ人材を“喉から手が出るほどほしい”ワケ
- Microsoft、脆弱性の開示に向けて業界標準の体系を採用 大改革がもたらすメリット
- 江崎グリコ、基幹システムの切り替え失敗によって出荷や業務が一時停止
- 「Copilot for Securityを使ってみた」 セキュリティ担当者が感じた4つのメリットと課題
- 「アダルトビデオが無料です」――IE標的のトロイの木馬に要注意
ITmediaはアイティメディア株式会社の登録商標です。