PCI DSS準拠とは?| PCI DSSの定義

カード会員データを保護するため、PCI準拠の企業はPCI DSSと呼ばれる一連のクレジットカードデータセキュリティ基準に従っています。カード決済を扱ったり処理したりするすべての組織にとって、PCIコンプライアンスが重要である理由をご覧ください。

学習目的

この記事を読み終えると、以下のことができるようになります。

  • 決済カード業界データセキュリティ基準(PCI DSS)の定義
  • PCI DSSの成り立ちと進展の説明
  • PCI DSS準拠の重要性を理解する

関連コンテンツ


さらに詳しく知りたいとお考えですか?

是非、Cloudflareが毎月お届けする「theNET」を購読して、インターネットで最も人気のある洞察をまとめた情報を入手してください!

当社がお客様の個人データをどのように収集し処理するかについては、Cloudflareのプライバシーポリシーをご確認ください。

記事のリンクをコピーする

PCI DSS準拠とは?

決済カード業界(PCI)準拠とは、カード会員データに対する一連のセキュリティポリシーを遵守することです。クレジットカード、デビットカード、プリペイドカードを使用した取引を処理するすべての組織は、PCI コンプライアンス要件の対象となります。

クレジットカードのデータは機密にするべきものであり、PCIに準拠することで、そのデータを機密に保てる信頼できる企業であることが証明されます。家の持ち主が、自分の持ち物を任せられないような人に家の鍵を貸さないのと同じように、クレジットカードブランドも、加盟店が決済カードのデータを安全に保管できなければ、その加盟店を信用しないでしょう。

事業者がクレジットカードの会員データを保存、処理、または送信する場合、インターネット、電話、アプリ、紙、対面のいかんにかかわらず、これらの支払いに関する情報を保護するための一連のルールに従う必要があります。

PCI準拠は米国の連邦法では義務付けられていませんが、クレジットカード会社は、カード会員データを適切に保護できない企業に対して、非準拠の料金を課すことができます。さらに重要なことは、カード会員データの保護を怠ると、犯罪者がそのデータを容易に盗み出すことができるということです。このような盗難は重大なリスクです。今後10年間で、世界の決済カード業界は、二ルソンレポートの予測によると、詐欺により世界中で累積3970億ドルの損失を被ることが予測されています。

PCI DSSとは?

PCI DSSとは、「Payment Card Industry Data Security Standard(決済カード業界データセキュリティ規格)」の略です。PCI DSSフレームワークは、カード会員取引データおよびカード認証の情報を保護するための堅牢なプロセスを企業にガイドするものです。カード会員データと認証データの両方を保護することを目的とし、セキュリティインシデントの予防、検出、対応に役立つ要件を備えています。

PCIコンプライアンスは、クレジットカード、デビットカード、プリペイドカードを受け付けるすべての加盟店にグローバルに適用されます。つまり、街角のコーヒーショップから多国籍のデザイナーズ衣料品ブランドまで、あらゆる規模の企業が、たとえ取引処理に第三者を利用していたとしても、PCIコンプライアンスの対象となるのです。

PCI DSSが扱うカード会員取引データには、以下のものが含まれます。

  • プライマリーアカウント番号:カードのアカウント番号で、通常16桁です。
  • 氏名:カード名義人氏名
  • 有効期限:カードの有効期限が切れる月と年です。
  • サービスコード:対面取引でカードの磁気ストライプやチップから自動的に取り出される値

PCI DSSの対象となる機密認証データには、以下のものがあります。

  • フルトラックデータ:クレジットカードの磁気ストライプデータまたはそれに相当するチップのデータ。
  • カード確認コード:カードに記載されている3桁または4桁のセキュリティコードで、オンラインショッピングの際にはほぼ必ず要求されます。
  • 有効期限:カードの有効期限が切れる月と年です。
  • 暗証番号(PIN):ATMの引き出しやその他の取引を許可する、通常4桁の一意の番号。

PCI DSSのフレームワーク

PCI DSSフレームワークは、12の基本要件(300以上のサブ要件)で構成されています。

  1. ネットワークセキュリティコントロールをインストールし、維持します。
  2. ネットワークに接続された機器では、ベンダーが提供するデフォルトのパスワードを使用しない。
  3. 暗号化などのデータ保護手段により、保存されたアカウントデータを保護する。
  4. オープンなパブリックネットワーク上でカード会員データを強力に暗号化します。
  5. すべてのシステムとネットワークマルウェアから保護します。
  6. セキュアなシステムとソフトウェアを維持します。
  7. システムおよびカード会員データへのアクセスを「知る必要がある」人に限定する。
  8. ユーザーを識別し、システムコンポーネントのアクセスを認証する
  9. カード会員データへの物理的なアクセスを制御・制限する。
  10. カード会員データへのアクセスを記録・監視します。
  11. セキュリティとネットワークシステムを定期的にテストします。
  12. 組織の情報セキュリティポリシーを維持します。
注:これらは基準の要約であり、実際の基準そのものではありません。詳しくは、PCIセキュリティ基準協議会のWebサイトをご覧ください。

PCI規格はどこから生まれたのでしょうか?

PCI DSSおよび関連するセキュリティ基準は、American Express、Discover Financial Services、JCB International、MasterCard Worldwide、およびVisa Inc.によって設立された業界団体、PCI Security Standards Council(PCI SSC)によって管理されています。参加団体には、加盟店、決済カード発行銀行、プロセッサー、開発者、その他のベンダーも含まれています。

初版のPCI DSS 1.0は、2004年に導入されました。2006年、PCI SSCはバージョン1.1を発表し、加盟店に対し、すべてのオンラインアプリケーションを見直し、セキュリティを強化するためにファイアウォールを設置するよう求めました。

PCI DSS は、データ漏洩やカード処理のエコシステム全体に現れる脆弱性に対応して、長年にわたり進化を続けています。2024年3月31日現在、現行バージョン4.0は、唯一のアクティブバージョンとなり、バージョン3.2.1はアーカイブされました。

PCI DSS v4.0は、「新たな脅威や技術に対応し、新たな脅威に対抗する革新的な方法を可能にする」ために2022年にリリースされました。組織は、2025年3月31日までにPCI DSS v4.0のすべての要件に準拠する必要があります。

PCI DSSの中核となる要件に基本的な変更はありませんが、新しいv4.0では、セキュリティ管理をどのように実施すべきかがより重視されています。変更点には、以下があります。

  • ファイアウォールの用語を更新し、ネットワークセキュリティ制御をより幅広い技術に対応させる
  • カード会員データ環境へのすべてのアクセスに対して、多要素認証(MFA)を実装する要件を拡大した
  • セキュリティ目標を達成するために、組織がさまざまな方法を用いていることを証明する点での柔軟性が高まった

ここでは、v3.2.1からv4.0への主な変更点をまとめています。

PCIコンプライアンスはどのように実施されますか?

PCIコンプライアンスは、決済処理を担当するクレジットカードブランドによって実施されます。加盟店(商品やサービスの支払方法として決済カードを受け付ける人など)は、年間一定数の決済カード取引を行った場合、PCI DSS準拠報告書を作成することが求められます。これを怠ると、罰金の対象となります。

PCI DSSの罰則は、違反の重大性、問題の修正または修復に要した期間、漏洩の有無など、さまざまな要因に基づいています。また、PCIに非準拠のままだと、システム内での決済にクレジットカードが使えなくなる可能性もあります。

PCI DSSでは、12ヶ月間に処理したカード取引の数に応じて、企業(基準の記述では「加盟店」と呼ばれている)を4つのレベルに分けています。

4段階のレベル*:

  • レベル1:全チャネルで年間取引数が600万件以上
  • レベル2:全チャネルで年間取引数100万~600万件
  • レベル3:eコマースの年間取引数2万~100万件
  • レベル4:eコマースの年間取引数2万件未満

加盟店がPCI準拠の認定を受ける方法は、加盟店のレベルに応じて変化します。一般的に、取り扱う取引件数が多いほど、コンプライアンス監査の要件は厳しくなります。

例えば、レベル2~4の加盟店は、毎年、自己評価質問書(SAQ)を記入し、提出します。加盟店が決済カード情報を処理する方法によって、異なるSAQタイプがあります。組織は、SAQ Instructions and Guidelinesを参照して、(必要な場合)どのSAQが組織に適用されるかを判断する必要があります。v4.0でのSAQ要件の違いのまとめは、こちらからご覧いただけます。

年間600万件以上のトランザクションを扱うレベル1加盟店(Cloudflareなど)は、毎年監査を受けています。レベル1の加盟店は、PCI SSC Qualified Security Assessor(QSA)またはPCI SSC Internal Security Assessor(ISA)からコンプライアンスに関する報告書を受け取る必要があります。レベル1加盟店のこのプロセスは、カード会社によって年1回または四半期に1回実施されます。レベル1の加盟店は、オンサイトでのデータセキュリティ評価を受けることもあります。

最後に、すべての加盟店はコンプライアンス証明書(AOC)フォームを記入し、提出する必要があります。これは、基本的に加盟店がPCIに準拠していることをクレジットカード会社に表明するものです。

*これらの定義はほぼ正確ですが、各クレジットカードブランドによって、コンプライアンスの定義と評価は若干異なります。各クレジットカード会社の具体的なプログラム基準について確認することが重要です。

Cloudflareは、顧客がPCI要件を満たすよう支援できますか?

CloudflareはPCI DSS Level 1の準拠を維持しており、2014年以降、PCIに準拠しています。また、多くのお客様がAOCのコピーの提出を要求なさいますが、これは基本的にクレジットカード会社に対し、当社がPCIに準拠していることを伝えるものです。この認証を取得していない場合、特定のお客様との取引ができなくなり、また、提携銀行が当社のサービスの決済方法として決済カードを使用することを認めなくなります。

また、お客様がお持ちのWebサイトやアプリケーションのセキュリティ維持もお手伝いしています。ここでは、CloudflareがPCI DSSの特定の要件を満たすために企業を支援する方法をいくつか紹介します。

  • Cloudflare Webアプリファイアウォールを使用し、OWASPルールセットを有効にし、環境に合わせてルールを調整するお客様は、Web向けアプリを保護するニーズを満たし、PCI要件6.4.1に準拠することになります。
  • Cloudflareは、加盟店が、PCIコンプライアンスのもう一つの重要な部分である最新バージョンのTLS暗号化を使用できるようにします。
  • 多くの組織は、カード会員データ環境の範囲を狭めるために、企業VPNやその他の区分化ツールに頼っています。Cloudflare Accessは、CloudflareのグローバルネットワークをVPNサービスとして利用し、社内リソースにアクセスすることで別の区分化手段を提供します。さらに、これらのセッションは、15分間操作がないとタイムアウトするように設定することができ、お客様が要件8.2.8を満たすのを支援します。
  • クライアント側のセキュリティ、PCI DSS v4.0の6.4.3および11.6.1に関する新しい要件では、すべての決済ページ上で実行されるJavaScriptを認識および認証する必要性があり、このJavaScriptのいずれかが変更された場合にアラートを発生させる必要があるとしています。Cloudflare Page Shieldは、決済ページだけでなくWebサイト全体を継続的に監視し、スクリプトが変更された場合や悪意のあると判断された場合にアラートを送信します。

CloudflareのWebサイトとアプリケーションのセキュリティサービス、およびコネクティビティクラウドに組み込まれたセキュリティ、プライバシー、コンプライアンス機能について、リンクより詳細をご覧ください。