PCI DSSは、クレジットカード情報を安全に取り扱うために策定された国際的なセキュリティ基準です。加盟店やサービスプロバイダーなど、カード情報を保存・処理・伝送する事業者には対応が求められます。
本記事では、PCI DSSの基本概要や最新バージョンの動向、6つの目的と12の要件、準拠レベルや評価方法、さらに対応までのステップについてわかりやすく整理します。
PCI DSS(Payment Card Industry Data Security Standard)とは?
PCI DSSは、VISA、MasterCard、JCBなど主要カードブランドが共同で策定・運営している、国際的なクレジットカード情報保護基準です。なお、2020年には中国の銀聯(UnionPay)も参画しています。ブランドごとに異なっていたセキュリティ要件を統一し、加盟店の負担を軽減するとともに、増え続けるサイバー攻撃や不正利用に対応するために整備されました。カード会員データを守るための実践的な指針として、世界中の企業で広く採用されています。
最新はPCI DSSv4.0.1
PCI DSSは継続的に更新されており、現在の最新バージョンはv4.0.1です。旧バージョンであるv3.2.1およびv4.0のサポートは終了しています。
v4.0.1はv4.0の技術的要件を変更するものではなく、表現の明確化や誤記修正を目的とした限定的な改訂です。すでにv4.0に対応している場合でも、内容を確認し、最新版に基づいた運用へ移行する必要があります。
PCI DSSの対象となる企業
PCI DSSは、クレジットカード情報を保存・処理・伝送するすべての事業者が対象となります。加盟店やサービスプロバイダーはもちろん、カード発行会社なども、カードに関するデータを取り扱う場合には適用対象に含まれます。
対象となる業種も幅広く、百貨店や通信会社、EC事業者などに加え、通話中にカード番号を扱うコンタクトセンターも例外ではありません。実務上、カード情報に触れる可能性がある組織は、カードブランドとの契約条件や業界基準としてPCI DSSへの対応が求められます。
PCI DSSの6つの目的と12の要件
ここでは、PCI DSSが掲げる6つの目的と、それぞれに対応する12の要件について、順を追ってわかりやすく解説していきます。
①安全なネットワークとシステムの構築と維持
企業の情報資産を守るためには、ネットワークやシステムを安全に設計し、その状態を保つことが欠かせません。
要件1:ネットワークセキュリティコントロールの導入と維持
ファイアウォールやルーターの設定を体系的に整備し、必要な通信のみを許可することで、不正アクセスを防止する体制を整えます。
要件2:すべてのシステムコンポーネントにセキュアな設定を適用する
ベンダーが提供する初期設定をそのまま使わず、強力なパスワードへの変更や不要機能の停止を徹底し、システム全体の安全性を高めます。さらに、構成変更の履歴を適切に管理し、管理経路を暗号化して保護することで、脆弱性が生じにくい安全な運用基盤を確保します。
②アカウントデータの保護
アカウントデータは、不正利用や情報漏えいが発生した場合に甚大な影響を及ぼすため、最優先で保護すべき情報資産です。
要件3:保存されたアカウントデータの保護
保存されたアカウントデータは、強力な暗号化と適切な鍵管理によって保護しなくてはなりません。また、保存する情報や期間は必要最小限に抑えます。
要件4:オープンな公共ネットワークでの送信時に、強力な暗号化技術でカード会員データを保護する
公衆ネットワーク利用時は強力な暗号化プロトコル(例:TLSなど)を使用します。例えば、通信経路の保護や端末管理の強化など、複数の対策を組み合わせ、安全性を高めることが求められます。
③脆弱性管理プログラムの維持
脆弱性管理は、一度仕組みを構築して終わりになるものではありません。継続的に運用し、改善を重ねることが不可欠です。
要件5:悪意のあるソフトウェアからすべてのシステムおよびネットワークを保護する
マルウェア対策ソフトを常時稼働させ、定期的な更新を行い、最新状態を維持します。さらに、フィッシングなど新たな脅威に対応できる仕組みと継続的な環境監視を組み合わせることで、防御体制を一層強化できます。
要件6:安全なシステムおよびソフトウェアの開発と維持
システムの安全性を確保するには、設計から運用まで各工程にセキュリティを組み込み、脆弱性を早期に把握して迅速に対処することが大切です。さらに、安全なコーディングや定期教育、パッチの迅速な適用を継続することで、攻撃に強い環境を長期的に確保できます。
④強固なアクセス制御の実施
不正アクセスや内部不正を防ぐためには、アクセス制御の強化が欠かせません。
要件7:システムコンポーネントおよびカード会員データへのアクセスを、業務上必要な適用範囲(Need to Know)によって制限する
業務に必要な範囲だけ権限を付与し、役割に応じてアクセスを管理します。さらに、認証・承認の仕組みと定期的な見直しで最小権限を維持することで、カード会員データを安全に保護し、不適切なアクセスや情報漏えいのリスクを抑えられます。
要件8:ユーザの識別とシステムコンポーネントへのアクセスの認証
ユーザIDを個別に割り当て、共有アカウントの使用を最小限に抑えることで、利用者を正確に識別できる体制を整えます。あわせて、強固なパスワード要件や多要素認証(MFA)を適用し、システムコンポーネントおよびカード会員データ環境(CDE)へのアクセスを適切に管理します。
要件9:カード会員データへの物理アクセスを制限する
カード会員データを扱う施設では、サーバールームやバックアップ媒体、紙媒体などへの物理的アクセスを適切に制限します。入退室管理や監視体制、訪問者管理の実施により、カード会員データへの不正アクセスや盗難のリスクを防止します。
⑤ネットワークの定期的な監視とテスト
ネットワークの安全性を維持するためには、異常を早期に検知し、脆弱性を正確に把握することが求められます。
要件10:システムコンポーネントおよびカード会員データへのすべてのアクセスをログに記録し、監視すること
ユーザーによる操作や管理者権限の利用といったアクセスをログとして記録し、改ざんされないよう適切に保管します。あわせて、ログを定期的に確認し、不審な挙動を早期に把握できる体制を整えることが求められます。
要件11:システムおよびネットワークのセキュリティを定期的にテストする
低規定に脆弱性スキャンや侵入テストを行い、弱点を継続的に把握・改善します。また、未許可のワイヤレスアクセスポイントを確実に検知し適切に対処できる仕組みを整え、環境全体の安全性を常に確認しながら運用します。
⑥情報セキュリティポリシーの維持
情報セキュリティ対策は、単に個々の技術やルールを導入するだけでは十分ではありません。組織全体で情報セキュリティを支えるためには、基本的な考え方や体制をしっかり整えましょう。
要件12:組織の方針とプログラムによって情報セキュリティをサポートする
組織は、情報セキュリティポリシーを策定し、定期的なリスク評価や見直しを実施する必要があります。また、従業員への教育やインシデント対応計画の整備、委託先の管理などを通じて、セキュリティ対策を組織的に運用することが求められます。
PCI DSSの準拠レベルと検証要件
PCI DSSでは、クレジットカードの年間取扱件数に応じて、事業者を複数のレベルに分類しています。
加盟店の準拠レベルは、はレベル1からレベル4までの4段階です。年間600万件以上を扱う事業者はレベル1に該当します。レベルが上がるほど、第三者による訪問審査が求められるなど、検証方法が厳格になります。取扱件数が少ない事業者では、自己問診票(SAQ)や外部脆弱性スキャンによる確認作業が必要です。
一方、サービスプロバイダーはレベル1とレベル2の2段階に分類され、年間30万件以上を処理する事業者はレベル1に該当します。一定規模以上の事業者では、第三者による評価が求められます。
PCI DSS準拠のためのステップ
PCI DSSへの準拠は、単なるセキュリティ対策の導入ではなく、対象範囲の特定からギャップ分析、対策の実装、適合性評価、そして継続的な運用管理までを含む体系的なプロセスです。
準拠範囲を特定
カード情報を扱うシステムやネットワークを洗い出し、PCI DSSの適用対象となる範囲(スコープ)を明確にします。スコープを必要以上に広く設定すると、全社的な対策や監査対応が求められ、コストや運用負担が大きくなります。そのため、実際にカードデータを処理・保存・伝送する環境(CDE)を特定し、対象範囲を適切に限定しましょう。
PCI DSSの12要件と現状のセキュリティ対策状況のギャップを分析
PCI DSSの12要件を基準に、現行のシステムや運用状況を確認し、要件との差分(ギャップ)を洗い出します。未対応または不十分な項目を明確にすることで、優先順位を付けた改善計画を策定できます。
PCI DSSの12要件への対応と実装
ギャップ分析で明らかになった未対応項目に対し、必要な技術的対策や規程整備を実施しましょう。具体的には、ファイアウォール設定やアクセス制御、ログ管理などの対策を計画に沿って実施し、関連する手順や運用ルールを明確にします。これにより、要件を満たすだけでなく、継続的に準拠できる運用体制を整えます。
検証と適合性評価
PCI DSSの準拠は、所定の方法による評価を経て確認されます。
レベル1に該当する事業者では、QSA(Qualified Security Assessor)による訪問審査が実施され、その結果はROC(Report on Compliance)としてまとめられます。一方、SAQ(自己問診票)の対象となる事業者は、自社で要件への対応状況を評価します。
また、外部公開システムを有する場合には、PCI SSCが認定するASV(Approved Scanning Vendor)による四半期ごとの外部脆弱性スキャンが必須です。
これらの評価結果をもとに、最終的にAOC(Attestation of Compliance)が発行され、準拠状況が証明されます。
準拠の維持と改善
PCI DSS準拠は、一度認定を取得して終わりではありません。四半期ごとの外部スキャンやログ監視、脆弱性管理、変更管理などを日常的に実施し、運用状況を継続的に確認しなくてはなりません。また、基準の改訂やシステムの更新が行われた場合には、最新要件に沿って体制を見直す必要が生じます。
PCI DSS準拠を支援するサービス
PCI DSSへの準拠には、要件の理解から評価、改善、継続的な運用まで専門的な対応が求められます。対応に不安がある場合は、PCI SSC認定機関の支援を検討しましょう。
QSA(Qualified Security Assessor)
QSAは、PCI DSSへの準拠状況を第三者の立場から審査する事業者です。現地でのシステム確認や担当者へのヒアリング、技術的な検証を正式な手順に沿って実施し、その結果を整理した評価報告書(ROC)を作成します。これにより、組織の準拠状況を客観的かつ信頼性のある形で示す役割を担っています。
ASV(Approved Scanning Vendor)
ASVは、外部公開システムに対する脆弱性スキャンを行う事業者です。認定を受けた事業者のみが、PCI DSSにおける正式な外部スキャンを実施できます。四半期ごとのスキャンを通じて脆弱性を確認し、その結果は正式なレポートとして報告されます。
PCI DSS準拠に関するFAQ
PCI DSS準拠に関しては、法的義務の有無や未対応時のリスク、企業規模による違いなどについて多くの疑問が寄せられます。本章では、実務上特に重視すべきポイントをQ&A形式で整理します。
PCI DSSに準拠しないとどうなる?
PCI DSSに準拠していなくとも、直ちに違法となるわけではありません。ただし、カード番号等の管理が不十分と判断された場合は、行政指導や業務改善命令といった措置の対象となる可能性があります。また、カードブランドから制裁金の負担や契約条件の見直しを求められることもあります。
参照元:経済産業省|割賦販売法の⼀部を改正する法律について(p.3)
PCI DSSへの準拠は義務ですか?
PCI DSSという名称そのものが法律で義務付けられているわけではありません。ただし、日本の割賦販売法ではクレジットカード番号等の適切な管理が法的に義務付けられており、その実務基準としてPCI DSSへの準拠やカード情報の非保持化などの対策が求められています。
参照元:経済産業省|割賦販売法の⼀部を改正する法律について(p.3)
中小企業でもPCI DSSに準拠する必要がある?
企業規模にかかわらず、カード情報を保存・処理・伝送する事業者は、日本の割賦販売法(第35条の16)に基づき、クレジットカード番号等を適切に管理する法的義務があります。実務上は、その基準としてPCI DSSへの準拠、または同等以上のセキュリティ対策を講じることが求められています。そのため、中小企業であっても対象外とはならず、必要な対策を講じる必要があります。
PCI DSS準拠にはどれくらいの費用がかかる?
PCI DSS準拠にかかる費用は、企業規模や対象範囲によって大きく異なります。
例えば、QSAによる訪問審査(監査)の費用は、小規模な環境であれば数十万円規模で収まるケースがあります。一方、対象範囲が広い場合や改善対応を伴う場合、数百万円から1,000万円以上に達することも少なくありません。
さらに、システム改修やセキュリティ対策の導入、継続的な運用体制の整備などにも費用が発生するため、総額は環境によって大きく変動します。
まとめ
PCI DSSは、クレジットカード情報を保護するための国際的なセキュリティ基準です。カード会員データを保存・処理・伝送する事業者は、企業規模を問わず対応が求められます。
現在はv4.0.1を前提とした運用が求められており、基準は6つの目的と12の要件で構成されています。準拠には、スコープ特定、ギャップ分析、対策実装、適合性評価、そして継続的な運用管理が不可欠です。
自社が準拠することはもちろん、クレジットカード情報を扱う業務を外部委託する際にも、自社のセキュリティリスクを低減するためにも、PCI DSS要件をクリアした信頼できるベンダーを選ぶことが重要です。
