カード会員データを保護するため、PCI準拠の企業はPCI DSSと呼ばれる一連のクレジットカードデータセキュリティ基準に従っています。カード決済を扱ったり処理したりするすべての組織にとって、PCIコンプライアンスが重要である理由をご覧ください。
この記事を読み終えると、以下のことができるようになります。
記事のリンクをコピーする
決済カード業界(PCI)準拠とは、カード会員データに対する一連のセキュリティポリシーを遵守することです。クレジットカード、デビットカード、プリペイドカードを使用した取引を処理するすべての組織は、PCI コンプライアンス要件の対象となります。
クレジットカードのデータは機密にするべきものであり、PCIに準拠することで、そのデータを機密に保てる信頼できる企業であることが証明されます。家の持ち主が、自分の持ち物を任せられないような人に家の鍵を貸さないのと同じように、クレジットカードブランドも、加盟店が決済カードのデータを安全に保管できなければ、その加盟店を信用しないでしょう。
事業者がクレジットカードの会員データを保存、処理、または送信する場合、インターネット、電話、アプリ、紙、対面のいかんにかかわらず、これらの支払いに関する情報を保護するための一連のルールに従う必要があります。
PCI準拠は米国の連邦法では義務付けられていませんが、クレジットカード会社は、カード会員データを適切に保護できない企業に対して、非準拠の料金を課すことができます。さらに重要なことは、カード会員データの保護を怠ると、犯罪者がそのデータを容易に盗み出すことができるということです。このような盗難は重大なリスクです。今後10年間で、世界の決済カード業界は、二ルソンレポートの予測によると、詐欺により世界中で累積3970億ドルの損失を被ることが予測されています。
PCI DSSとは、「Payment Card Industry Data Security Standard(決済カード業界データセキュリティ規格)」の略です。PCI DSSフレームワークは、カード会員取引データおよびカード認証の情報を保護するための堅牢なプロセスを企業にガイドするものです。カード会員データと認証データの両方を保護することを目的とし、セキュリティインシデントの予防、検出、対応に役立つ要件を備えています。
PCIコンプライアンスは、クレジットカード、デビットカード、プリペイドカードを受け付けるすべての加盟店にグローバルに適用されます。つまり、街角のコーヒーショップから多国籍のデザイナーズ衣料品ブランドまで、あらゆる規模の企業が、たとえ取引処理に第三者を利用していたとしても、PCIコンプライアンスの対象となるのです。
PCI DSSが扱うカード会員取引データには、以下のものが含まれます。
PCI DSSの対象となる機密認証データには、以下のものがあります。
PCI DSSフレームワークは、12の基本要件(300以上のサブ要件)で構成されています。
PCI DSSおよび関連するセキュリティ基準は、American Express、Discover Financial Services、JCB International、MasterCard Worldwide、およびVisa Inc.によって設立された業界団体、PCI Security Standards Council(PCI SSC)によって管理されています。参加団体には、加盟店、決済カード発行銀行、プロセッサー、開発者、その他のベンダーも含まれています。
初版のPCI DSS 1.0は、2004年に導入されました。2006年、PCI SSCはバージョン1.1を発表し、加盟店に対し、すべてのオンラインアプリケーションを見直し、セキュリティを強化するためにファイアウォールを設置するよう求めました。
PCI DSS は、データ漏洩やカード処理のエコシステム全体に現れる脆弱性に対応して、長年にわたり進化を続けています。2024年3月31日現在、現行バージョン4.0は、唯一のアクティブバージョンとなり、バージョン3.2.1はアーカイブされました。
PCI DSS v4.0は、「新たな脅威や技術に対応し、新たな脅威に対抗する革新的な方法を可能にする」ために2022年にリリースされました。組織は、2025年3月31日までにPCI DSS v4.0のすべての要件に準拠する必要があります。
PCI DSSの中核となる要件に基本的な変更はありませんが、新しいv4.0では、セキュリティ管理をどのように実施すべきかがより重視されています。変更点には、以下があります。
ここでは、v3.2.1からv4.0への主な変更点をまとめています。
PCIコンプライアンスは、決済処理を担当するクレジットカードブランドによって実施されます。加盟店(商品やサービスの支払方法として決済カードを受け付ける人など)は、年間一定数の決済カード取引を行った場合、PCI DSS準拠報告書を作成することが求められます。これを怠ると、罰金の対象となります。
PCI DSSの罰則は、違反の重大性、問題の修正または修復に要した期間、漏洩の有無など、さまざまな要因に基づいています。また、PCIに非準拠のままだと、システム内での決済にクレジットカードが使えなくなる可能性もあります。
PCI DSSでは、12ヶ月間に処理したカード取引の数に応じて、企業(基準の記述では「加盟店」と呼ばれている)を4つのレベルに分けています。
4段階のレベル*:
加盟店がPCI準拠の認定を受ける方法は、加盟店のレベルに応じて変化します。一般的に、取り扱う取引件数が多いほど、コンプライアンス監査の要件は厳しくなります。
例えば、レベル2~4の加盟店は、毎年、自己評価質問書(SAQ)を記入し、提出します。加盟店が決済カード情報を処理する方法によって、異なるSAQタイプがあります。組織は、SAQ Instructions and Guidelinesを参照して、(必要な場合)どのSAQが組織に適用されるかを判断する必要があります。v4.0でのSAQ要件の違いのまとめは、こちらからご覧いただけます。
年間600万件以上のトランザクションを扱うレベル1加盟店(Cloudflareなど)は、毎年監査を受けています。レベル1の加盟店は、PCI SSC Qualified Security Assessor(QSA)またはPCI SSC Internal Security Assessor(ISA)からコンプライアンスに関する報告書を受け取る必要があります。レベル1加盟店のこのプロセスは、カード会社によって年1回または四半期に1回実施されます。レベル1の加盟店は、オンサイトでのデータセキュリティ評価を受けることもあります。
最後に、すべての加盟店はコンプライアンス証明書(AOC)フォームを記入し、提出する必要があります。これは、基本的に加盟店がPCIに準拠していることをクレジットカード会社に表明するものです。
*これらの定義はほぼ正確ですが、各クレジットカードブランドによって、コンプライアンスの定義と評価は若干異なります。各クレジットカード会社の具体的なプログラム基準について確認することが重要です。
CloudflareはPCI DSS Level 1の準拠を維持しており、2014年以降、PCIに準拠しています。また、多くのお客様がAOCのコピーの提出を要求なさいますが、これは基本的にクレジットカード会社に対し、当社がPCIに準拠していることを伝えるものです。この認証を取得していない場合、特定のお客様との取引ができなくなり、また、提携銀行が当社のサービスの決済方法として決済カードを使用することを認めなくなります。
また、お客様がお持ちのWebサイトやアプリケーションのセキュリティ維持もお手伝いしています。ここでは、CloudflareがPCI DSSの特定の要件を満たすために企業を支援する方法をいくつか紹介します。
CloudflareのWebサイトとアプリケーションのセキュリティサービス、およびコネクティビティクラウドに組み込まれたセキュリティ、プライバシー、コンプライアンス機能について、リンクより詳細をご覧ください。