カード業者じゃなくてもセキュリティに効く？ 一般企業にとってのPCI DSS：システム導入担当者のためのPCI DSS【前編】

米国で導入企業が急増しているPCI DSS。その要件は、カード情報を扱わない企業にとってもセキュリティ強化の実効果が見込めるという。本特集ではPCI DSSを知るための基礎と企業がすぐに適用できる方法について紹介していく。

[山崎文明，ネットワンシステムズ]

　実践的なセキュリティ基準として最近よく耳にする「PCI DSS」とは、どのようなものだろうか。PCI DSS（Payment Card Industry Data Security Standard）とは、5大国際カードブランド（Visa International、MasterCard Worldwide、American Express、Discover Financial Services、JCB International）が2004年に共同で作成したカード会員データの漏えい防止を目的とした情報セキュリティ対策の実装要求基準である。2006年にPCIセキュリティ標準協議会（PCI SSC：PCI Security Standards Council）が設立されてから米国を中心に急速に普及している事実上の国際標準となっている。現在は、このPCI SSCという団体が基準の策定や改良、普及・導入支援を実施している。

　一方、PCI DSSの普及促進策は、それぞれの国際カードブランドが独自に実施することになっており、それぞれ固有の普及プログラム名が付けられている。例えばVISAの場合は、「Account Information Security」、Master Cardの場合は、「Site Data Protection」と呼んでいる。内容も各社各様で、PCI DSSに準拠しなかった場合の罰金制度などにもばらつきがあるのが現状だ。

PCI DSSと国際カードブランド各社の普及プログラム

　ここでいうカード会員データとは、クレジットカード番号と有効期限、アルファベット表記された会員氏名、サービスコードを指す。このうち、クレジットカード番号と有効期限、アルファベット表記された会員氏名の3つの情報が入手できればインターネットの通販サイトなどで、カードの所有者でなくとも買い物ができることはご存じだろう。PCI DSSは、カード会員データの漏えいに伴うクレジットカードの不正使用による莫大な被害を減少させることを目的に定められた情報セキュリティ対策の実装要求基準なのである。従って、制定の背景に大量のクレジット会員データの相次ぐ漏えい事件があることは言うまでもない。

　この点について、PCI DSSが対象とするカード会員データを機密情報と読み替えればカード決済にかかわらない一般企業にも応用できると解説する人もいるが、カード会員データは本来機密情報ではない。カード会員データは、国際カードブランド、カード発行会社、カード決済利用店舗（加盟店）を開拓するアクワイアラ（加盟店管理業者）、カード決済を受け付ける加盟店とそれぞれのコンピュータ処理にかかわるサービスプロバイダーなど多数の事業者間で頻繁に流通する情報であり、機密情報とは性質を異にする「要保護情報」である。このことは、PCI DSSの個々の要求事項を正確に理解する上で重要な概念の1つだ。同時に、異なる事業者間で頻繁に流通する情報を守るためにデータ処理に関係するすべての事業者に求められる最低限のセキュリティ水準（ベースラインセキュリティ）を示すことの困難さにもつながっている。

データセキュリティモデル構築の必要性

関連ホワイトペーパー

PCI DSS | セキュリティ対策 | 機密情報 | アクセス制御 | 暗号化 | ファイアウォール | 情報流出 | セキュリティポリシー