- コラム
今さら聞けない「PCI-DSS」の概要やメリット、準拠すべき事業者とは?認定取得方法も解説
ネットビジネスの開業を考えていて、インターネット上のセキュリティ対策を調べると、多くの方が「PCI-DSS」という言葉に出会うでしょう。PCI-DSSとはインターネット上でクレジットカード情報を取り扱う上でのセキュリティ基準の1つなのですが、サイトをPCI-DSSに準拠させたほうがよいといわれるのはどうしてなのでしょうか?
今回は、そんなPCI-DSSについて、セキュリティ関連で大切なポイントとなることは知っているけれども実は詳しくわかっていないという方へ、一体どのようなものなのか、メリットはあるのかなど詳しく解説していきます。
PCI-DSSが世界や日本国内で導入された背景や、セキュリティ面での高さの秘密を知っておくことで、事業の失敗を回避できる可能性が高くなります。これから事業を始めようと考えている方はぜひ参考にしてください。
PCI-DSSとは
「PCI-DSS(Payment Card Industry Data Security Standard)」とは、クレジットカードの会員データを安全に取り扱うことを目的として設定されたグローバルセキュリティ基準です。
VISA・American Express・JCB・Mastercard・Discoverという国際カードブランド5社が共同設立したPCI-SSC(Payment Card Industry Security Standards Council)という機関が運営と管理を行っています。つまり、PCI-DSSは国際的にも非常に高いセキュリティ性を誇るフレームワークだといえるでしょう。
PCI-DSSが導入された背景
以前は各国際カードブランドが独自のリスク管理プログラムを実行していましたが、その加盟店としては各ブランドが求める異なるプログラムにそれぞれ対応する必要があり、大きな負担となっていました。
インターネットの世界的な普及にともない、世界中でインターネット通販を利用することができるようになり、比例してクレジットカード被害も増加したといういきさつがあります。そこで、国際カードブランド5社が共同でPCI-DSSを策定する流れとなりました。
コロナ禍もあり、日本でもキャッシュレス決済を選ぶ人が増え、そのうちクレジットカード決済は約9割を占めています。これにともない、フィッシング詐欺やクレジットカード番号の盗用被害の件数が急増しました。
フィッシング詐欺とは、メールやSMSを通じてクレジットカード番号などの個人情報が盗まれるというもの。このようなクレジットカード決済を利用した際の被害を減らすため、2015年、経済産業省・大手クレジットカード各社・NTTデータ・全国消費者団体連絡会などが共同で「クレジット取引セキュリティ対策協議会」を立ち上げました。
そこで定められた「クレジットカード・セキュリティガイドライン」では「事業者はお客様との取引が対面・非対面にかかわらず、クレジットカード決済システムを導入する際はPCI-DSSを準拠しなくてはならない」と明記されています。PCI-DSSは、国内のクレジットカード個人情報の漏洩を防ぐために、国が主導して導入しているセキュリティ基準なのです。
PCI-DSS準拠のメリット
支払決済システムにPCI-DSSに準拠したものを導入するメリットとしては、主に次の3つが挙げられます。
【決済システムにPCI-DSSに準拠するメリット3つ】
- EC事業者や決済代行者の信用度の向上
- 情報漏洩や盗用のリスク低減
- クレジットカード会社からのペナルティが一部免責できる可能性
EC事業者や決済代行者の信用度の向上
厳重なセキュリティ性を持つPCI-DSSに準拠した決済システムを導入することで、店舗やECサイトをお客様は安心して決済を行うことができます。
商品や価格は希望どおりなのに、セキュリティ面で不安が残るサイトでは、売上の向上にはつながりにくいものです。その点、PCI-DSSに準拠している場合には、お客様からの信頼度も高くなり、リピーターの確保にもつながる可能性があります。決済代行者の側としても、システムの契約者(事業者)からの信用度が高くなり、安心してシステムを利用してもらうことが可能です。
情報漏洩や盗用のリスク低減
PCI-DSSに完全に準拠した決済システムを導入することで、お客様のクレジットカード情報の漏洩や、個人情報などが盗まれるリスクを大きく下げることができます。
決済システムをPCI-DSSに準拠させるには、安全なネットワークの構築や維持をはじめとする以下の6つの目標(+対応する12の要件)をクリアしなければなりません。
| 6つの目標 | 12の要件 |
|---|---|
| 1.安全なネットワークとシステムの構築・維持 | 1.カード会員データを保護するために、 ファイアウォールをインストールして維持する 2.システムパスワードおよび他のセキュリティパラメータに ベンダ提供のデフォルト値を使用しない |
| 2.カード会員データの保護 | 3.保存されるカード会員データを保護する 4.オープンな公共ネットワーク経由で カード会員データを伝送する場合、暗号化する |
| 3. 脆弱性管理プログラムの維持 | 5.すべてのシステムをマルウェアから保護し、 ウイルス対策ソフトウェアまたはプログラムを定期的に更新する 6.安全性の高いシステムとアプリケーションを開発し、保守する |
| 4. 強固なアクセス制御方法の導入 | 7.カード会員データへのアクセスを、 業務上必要な範囲内に制限する 8.システムコンポーネントへのアクセスを識別・認証する 9.カード会員データへの物理アクセスを制限する |
| 5. ネットワークの定期的な監視およびテスト | 10.ネットワークリソースおよびカード会員データへの すべてのアクセスを追跡および監視する 11.セキュリティシステムおよびプロセスを 定期的にテストする |
| 6. 情報セキュリティポリシーの維持 | 12. すべての担当者の情報セキュリティに 対応するポリシーを維持する |
具体的には、米国PCIデータセキュリティ基準審議会(PCI-SSC)が承認している認定審査機関のオンサイト審査や、定期的な脆弱性テストを行うことが条件付けされています。そのため、PCI-DSSに準拠した決済システムはクレジットカード情報などの漏洩や盗用のリスク低減を実現しているのです。
クレジットカード会社からのペナルティが一部免責できる可能性
事業者が展開するネット店舗がPCI-DSSの認証を受けている決済システムを導入していない場合、お客様のクレジットカード情報が漏洩し不正利用が発生してしまった際には、カード会社から損害賠償請求などのペナルティを受けることになります。
PCI-DSSに準拠していれば、クレジットカード情報の不正利用事故が発生した場合でも、クレジットカード会社からの損害賠償などのペナルティが免責される可能性がありますので、導入のメリットとしては大きいといえるでしょう。
PCI-DSSを準拠すべき事業者
国や各種企業が共同で立ち上げた「クレジット取引セキュリティ対策協議会」の「クレジットカード・セキュリティガイドライン」によると、事業者はお客様との取引が対面・非対面にかかわらず、クレジットカード決済システムを導入する際はPCI-DSSに準拠する必要があります。
つまり、クレジットカード情報を扱う店舗や企業などのすべてが当たることになるでしょう。具体的には以下のような事業者や業界です。
【PCI-DSSに準拠すべき事業者】
- クレジットカード発行会社(イシュアー)
- クレジットカード加盟店と契約する事業者(アクワイアラー)
- クレジットカード加盟店
- 国際ブランドカード運営会社
- 決済代行業者(PSP)等
【PCI-DSSに準拠すべき業界(例)】
- 金融業
- 流通業
- 通信、メディア
- 製造業等
PCI-DSSの認定取得方法
PCI-DSSの認定を取得する方法は、次の3つがあります。認定取得はこれらのうち1つのみ通過すればOKというわけではなく、クレジットカード情報を取り扱う形態や年間のクレジットカード取引量などに応じて複数の方法を実施する必要があります。
訪問審査
こちらはクレジットカード発行会社など、カード情報の取り扱い規模が大きい企業や事業者が要請されることが多い審査方法です。
PCI国際協議会の認定審査機関(QSA=Qualified Security Assessor)が企業や事業者を訪問し認定の可否を行います。
サイトスキャン
こちらはクレジットカード情報の取り扱いが中規模で、インターネットを介して事業を展開している企業や事業者が必須対象となる審査方法です。
PCI国際協議会の認定ベンダ(ASV=Approved Scanning Vendor)のスキャンツールを用いて、サイトの脆弱性を3ヶ月に1回以上点検し、認証の可否を行います。
自己問診
自己問診は、クレジットカード情報の取り扱い規模が小さい事業者、一般的には加盟店に向いている審査方法です。
アンケートに回答しすべて「Yes」となった場合に認定取得となります。ただしこのアンケートはPCI-DSSの要求事項に基づいたものとなっていることから、セキュリティ関連のIT専門用語が羅列されており、一般の事業者の方の場合には回答が難しいケースもあるようです。
実は、正式なライセンスを持つ決済代行業者は全体の半分以下!
現在の日本におけるクレジットカード利用を取り巻く状況はどのようになっているのでしょうか?経済産業省が2022年6月に公表した「クレジットカードシステムのセキュリティ対策の更なる強化に向けた方向性」によると、2021年の国内でのクレジットカード不正利用被害総額は330億円にも上っています。そのうちの94%がクレジットカード番号の盗用被害です。
実はクレジットカード加盟店と契約する事業者(アクワイアラー)や決済代行業者(PSP)についても、2018年の改正割賦販売法にて「クレジットカード番号等取扱契約締結事業者」として経済産業省へ登録し正式なライセンスの取得と、PCI-DSSの準拠の必要性が明記されました。しかし実際には、約500社超あるといわれるクレジットカード決済代行業者のうち、正式なライセンスを取得しているのは約半数もないのです。
特に注意したい決済代行業者の特徴
コロナ禍によりネット通販の普及が一段と促進されたことから、海外サイトでのショッピングも一般化しています。しかし、海外の決済代行業者やFX、ファーマシーなどの決済を受入れている決済代行業者には注意が必要です。これらはほぼ違法な決済代行会社だと考えましょう。
たとえばアメリカでは、クレジットカードよりも、自分の銀行口座と紐づいたデビットカードの発行数のほうが上回っています。これはローン滞納によりクレジットカードが停止されるといったこともあるため、多くの人がデビットカードのほうを選ぶ傾向にあります。その点日本では、学生や主婦でもクレジットカードを作ることができること、利用限度額も比較的高めに設定されていることが多いため、海外の犯罪者からクレジットカード番号の不正利用を狙われやすいのです。
もし正式なライセンスを持たない決済代行業者を利用するとどうなる?
事業を始めるにあたり、決済業務の負担を軽減するために決済代行業者と契約をする事業者は多いです。しかし手数料の安さに釣られ「クレジットカード番号等取扱契約締結事業者」として経済産業省へ登録していない決算代行業者と契約してしまう事業者も少なくありません。
このような悪質な業者は、クレジットカード番号の取り扱いがずさんなことが多く、セキュリティ面で大きな不安があります。国からの正式なライセンスを持っていないということは、定期的なセキュリティチェックも受けていないということですので、決済したはずのお金が振り込まれていない、カード番号の不正利用被害に遭うなど、さまざまなトラブルに巻き込まれる可能性が高くなります。
海外サイトでのショッピングで決済代行業者を利用する際や、事業者として決済代行業者を選ぶ際には、正式なライセンスを取得しているかどうかしっかりと確認することが大切です。
▼関連記事
PCI-DSSを準拠している決済代行会社の確認方法
では、決済代行業者の決済システムがPCI-DSSに準拠しているかどうか、どのように確認したらよいのでしょうか。
正確な方法としては、経済産業省のホームページにアクセスして、利用しようと考えている決済代行会社が「クレジットカード番号等取扱契約締結事業者」としてライセンス登録されているかどうかをチェックしてみることが挙げられます。
先述のとおり、経済産業省が統括するライセンス登録をしたクレジットカード番号等取扱契約締結事業者は、正式なクレジットカード代行業者として企業名が公表され、世間一般に認識されます。PCI-DDSに準拠し、定期的なセキュリティ性の審査も受ける必要がありますので、信頼性が高いと判断できます。
ライセンスの有無やPCI-DSSの準拠などは、安全な決済代行システムを選択する際には欠かせないチェック項目といえます。事業を安全に持続させるためにも、セキュリティ面の確認は怠らないようにしたいものです。
ちなみに、クレジットカード番号を扱う業務が発生する事業者は完全準拠が当然です。もし。クレジットカード番号を扱う業務があるのに、完全準拠していないことは違法ともいえるので選ばないようにしましょう。
決済代行サービスなら「SUIクレジットサービス」がおすすめ
インターネット決済で弊社の「SUIクレジットサービス」がもっとも重要視するのはセキュリティ体制です。「PCI‐DSS 3.2.1」に完全準拠が認められた決済システムとなっていますので、現時点において国際的なセキュリティ水準を保持しています。また、SSL暗号化通信や3Dセキュア(本人認証決済サービス)、セキュリティコードの入力なども導入しており、常に顧客の個人情報を厳重に保護するセキュリティ管理体制を整えています。
事業の成功はセキュリティ面の強化から始まります。ローリスクからハイリスクまで幅広い業種にも対応していてセキュリティの高い「SUIクレジットサービス」をぜひご検討ください。
まとめ
クレジットカード決済は、今や日本では当たり前の時代となりました。カード情報があれば非対面でも決済が可能なため、特にコロナ禍では利用者が多くなっています。銀行振込やコンビニ後払い決済などと比較して、シンプルな操作で利用できるのがクレジットカード決済の魅力ではありますが、フィッシング詐欺や不正利用の被害に遭う可能性はゼロではありません。
これから事業を始めようと考えている方は、クレジットカード決済のメリットを安全に享受するためにも、国にきちんと登録していてPCI-DSSに完全準拠している決済代行業者を選択するようにしましょう。