セキュリティ基準のPCI DSS

クレジットカード業界にはPCI DSSというセキュリティー基準が設けられています。
これは2004年に国際カードブランド5社(JCB、American Express、Discover、MasterCard、VISA)が共同で策定したもので、カード会員(カードホルダー)の個人情報をサイバー犯罪から守ることを目的としています。
もともとは各カードブランドそれぞれにセキュリティー基準を設けていましたが、アクワイアラや加盟店がそれぞれに対応しなくてはならないという手間などを考慮し共同で策定されました。
PCI DSSには6つの目的と12個の基準が定められています。



■目的

  1. 安全なネットワークの構築と維持
  2. カード会員(カードホルダー)のデータ保護
  3. 脆弱性を管理するプログラム整備
  4. 強固なアクセス制限方法の導入
  5. 定期的なネットワークの監視及びテスト
  6. 情報セキュリティポリシーの整備

■基準

  1. ファイアーウォールを導入し適切にシステムを維持する
  2. パスワードやその他セキュリティ類に民間のベンダーが提供する基本データを使用しない
  3. データを安全に保護する
  4. カード会員の情報などを送信する場合には、すべて暗号化する
  5. ウィルス対策ソフトを利用して定期的にその対策ソフトをアップデートする
  6. 安全なシステムとアプリケーションを開発し保持する
  7. 業務の目的ごとにカード会員(カードホルダー)のデータへのアクセスを制限する
  8. コンピュータにアクセスできるスタッフを制限する
  9. カード会員(カードホルダー)の情報へのアクセスを制限する
  10. カード会員(カードホルダー)の情報へのアクセスを追跡及び監視する
  11. セキュリティシステムおよび管理手順を定期的にテストする
  12. 従業員と契約社員のための情報セキュリティに関するポリシーを整備する

これらのように、カード会員(カードホルダー)の個人情報を守り、安心して利用していただくために厳しい基準を設けています。
ですが、最初に策定されたのが2004年なので、時代に合せて改訂されています。



厳重なセキュリティ基準ですが、これらに準拠するメリットとして以下の4つがあります。

  1. 準拠した企業の信用度やブランド力が上がる
  2. セキュリティポリシーが明確に隔離される事で、不正アクセスによるサイトの改ざんや情報漏洩、悪用などのリスクが少なくなる
  3. もし加盟店で準拠している場合には、万が一カード情報が流失し不正利用された場合にも、そのアクワイアラへの損害補償義務がなくなる
  4. 各企業でセキュリティ基準を設けているが、PCI DSSに準拠することで、各社で基準を策定する必要がなくなる事で時間と労力が無くなる

これらのメリットがありますが、デメリットもあります。
例えば、パスワードの文字数がPCI DSSの基準より少ない場合は基準も満たす文字数に増やす必要がある上、システムの改造で桁数を増やすだけではなく、利用者すべてにパスワードを変更してもらわないとならないなど、時間とコストが必要となります。
また、PCI DSSに準拠すると、PCI DSSに準拠していないカードが使えなくなるなどのリスクもあります。
これらの事もあり、普及率が100%に届かないことも事実です。