【まとめてみた】クレカセキュリティ対策【PCI DSS】

　今回は、クレジットカードセキュリティの基準である「PCI DSS」について紹介する。そして、来るべき2018年3月末のクレジットカード情報の非保持もしくは「PCI DSS」への準拠に、EC事業者はどのように備えるべきか考えていきたい。

そもそも「PCI DSS」ってなに？

　クレジット取引セキュリティ対策協議会は、今年の2月にクレジットカード取引におけるセキュリティ対策の強化に向けた「実行計画」を取りまとめた。「実行計画」では大きく分けて3分野に触れているが、その中でもカード情報の漏洩対策という分野で、加盟店におけるカード情報の「非保持化」・カード情報を保持する事業者の「PCI DSS」準拠が挙げられたのである。

　では、「PCI DSS」とは何かということだが、加盟店やサービスプロバイダにおいて、クレジットカード会員データを安全に取り扱うことを目的として策定されたクレジットカード業界のセキュリティ基準のことを指すのだ。つまり、上述の「実行計画」が決まったことで、クレジットカード情報を取り扱う事業者は、原則として「PCI DSS」へ準拠をしなければならなくなったのである。

　詳しい内容としては、2018年3月末までに、カード決済システムを導入しているEC加盟店のうち、カード情報を「保存、処理、伝送」の取扱を行っている企業は、カード情報を扱わない「非保持化」への移行、または「PCI DSS」への準拠が推奨されている。そして、これからEC事業を始めようと考えている事業者は、カード情報を直接取り扱うことが非推奨となり、それでも情報を扱う、もしくは扱わざるをえない場合には「PCI DSS」への準拠が推奨されるのである。

　ちなみに「PCI DSS」は国際カードブランド5社（American Express、Discover、JCB、MasterCard、VISA）が共同で設立したPCI SSCによって運用、管理されている。国際カードブランド5社が手を合わせた、世界的に統一されたクレジットカード情報保護のためのセキュリティ対策フレームワークということで、「PCI DSS」はかなり信頼性の高いセキュリティ基準と言えるのだ。

　以上が「PCI DSS」の導入になる。この後は「PCI DSS」準拠による、メリット・デメリット、そしてコスト、審査の順で紹介していく。また、ECのミカタでは、これまでにも「PCI DSS」準拠の重要性を記事として掲載してきたので、これから読み進めていく中で、こちらも合わせて参考にしていただきたい。

　

→2018年までに必須！EC事業者のクレカセキュリティ対策　　　　　　　　　　 →クレジットカードに関する3つの勘違い、2018年までに必要な対策とは？

「PCI DSS」準拠のメリット・デメリットとは？

　では、「PCI DSS」準拠には何かメリットやデメリットがあるのだろうか。「PCI DSS」に準拠し、具体的なセキュリティポリシーを企業として定義することは、カード情報を適切に管理しているというアピールになるので、顧客からの信頼やブランド力の向上に繋がることはもちろん、様々な不正アクセスに対する威嚇にもなり、サイトの改ざんや悪用、情報盗用などのリスクを低減することができるのである。

　また、「PCI DSS」を推奨する国際5ブランドの一つビザ・インターナショナルでは、加盟店等からカードに関する情報が流出して不正使用された場合、その加盟店が「PCI DSS」に準拠していれば、その管理責任のあるカード会社に求められる損害の補償の義務が免責されるという。

　その一方で、「PCI DSS」に準拠しないことは、セキュリティ施策が曖昧な企業だと判断されることにもつながるので、企業価値が低下することが考えられる。また、万が一カード情報が不正利用された時には損害賠償義務が発生してしまうので、常にカード情報を扱うリスクを抱えることにもなる。

　以上のことから分かるように、クレジットカードセキュリティの基準である「PCI DSS」の認定を取得することには様々なメリットはあるが、基本的にデメリットはないのだ。しかし、導入にはコストや時間がかかるので、その点についてはこの後詳しく紹介する。

　そして、今回は「PCI DSS」へ準拠することよるメリット・準拠しないことのデメリットを以下の表で簡潔にまとめてみたので、改めて確認してみてほしい。

「PCI DSS」準拠のメリット・デメリット表
ダウンロードはこちらから（https://goo.gl/Ove8Y0）

「PCI DSS」準拠にはどれくらいコストがかかる？コストを抑える方法は？

　では、次に「PCI DSS」準拠にはどれくらいコストがかかるか考えていきたい。まず、「PCI DSS」に準拠するためには、次項で具体的に挙げる複数の審査をくぐり抜ける必要がある。審査をくぐり抜けるためには、自社のシステムを「PCI DSS」に合う形に変える必要があり、様々なシステムを適応させるだけでも、ある程度の費用がかかることが想定される。

　また、今までにセキュリティ施策に力を入れてこなかった企業はもちろんだが、システムの適応には企業全体での協力が必要になり、部署を超えて取り組みをまとめる必要があるため、多くの場合で専門のコンサルタントなどの外部の機関に頼る必要があり、そのための費用もかかるだろう。もちろん、「PCI DSS」の準拠を支援するためのソフトウェアやクラウドサービスもあるので、必要に応じて活用することで、大幅にコストを抑えることができるのである。

　「PCI DSS」に準拠するという目標を達成するためには、数百万〜数千万円もの費用がかかることが予想されるので、長期的な計画を立てた上での早めの取り組みが、コストを抑えること、2018年3月末までの確実な準拠へつながると言えるだろう。


次ページでは、PCI DSS準拠のための審査について説明する。

PCI DSS準拠のための審査とは？

　「PCI DSS」への準拠ということで、先ほどはコストについて触れたが、今度は準拠するために通過しなければならない審査について考えてみたいと思う。まず、「PCI DSS」に準拠するためにはカード情報の取り扱い形態や規模によって異なる3つの方法があり、それが以下の通りになる。

1.訪問審査
　PCI国際協議会によって認定された審査機関による訪問審査を受けて、認証を得る。この訪問審査は、カード発行会社をはじめ、情報の取り扱い規模の大きな事業者に要請される方法である。

2.サイトスキャン
　Webサイトから侵入されて、情報を盗み取られることがないか、PCI国際協議会によって認定されたスキャンツールによって、四半期に1回以上の点検を受けてサイトに脆弱性のないことの認証を得る。このサイトスキャンは、カード情報の取り扱いが中規模、およびインターネットに接続している事業者には必須の方法だという。

3.自己問診
　「PCI DSS」の要求事項に基づいた、アンケート形式によるチェック項目に回答して、すべて「Yes」であれば、準拠していると認められる。自己問診は、カード情報取扱件数の比較的少ない、一般加盟店などの事業者向けの方法となっている。詳しい調査項目は、Web上で公開されている。

　以上の3つの方法について、いずれか1つの適用というわけではなく、カード情報の取扱規模や業務形態によって複数実施する必要があるそうだ。また、AISやSDPなど、各カードブランドのプログラムによって、適用するレベルが異なるようである。つまり、「PCI DSS」への準拠へ向けて、上記の審査に向けて準備をすることを考えると、今すぐにでも動き出さなければ、2018年に間に合わないのである。

「PCI DSS」へ準拠することの意味

　そして、「PCI DSS」へ準拠した後も1年に1回、1からの継続審査が必要となる。ゆえに、「PCI DSS」の取得や継続は面倒に感じるかもしれないが、社会的、そして顧客からの最大の信頼を得られるということを考えれば、メリットが圧倒的に大きいということが分かって頂けただろうか。また、2018年に向けて様々な企業が「PCI DSS」の取得に動き出すことが考えられるので、「PCI DSS」を取得していないということで、競合に差をつけられてしまうことも考えられる。

　「PCI DSS」の取得には、時間もお金もかかるが、今から動き出せばまだ間に合う。2018年にはクレジットカード情報の「非保持化」もしくは「PCI DSS」への準拠が原則として必要となるということを考えても今動き出さない理由はない。また、現在でもクレジットカード取引は増えていて、今後の2020年の東京オリンピックに向けて、訪日外国人による利用の増加とともに、国内外での不正が起き、法整備が進むことも想定される。EC事業者としては、今後「PCI DSS」への準拠が法制化される可能性まで見据えて今のうちに動いておくことが望ましいだろう。

　「PCI DSS」を取得することは、顧客からの信頼を勝ち取るための手段という側面以外にも、自社のクレジットカードセキュリティを改めて見直すことにもつながる。もし、万が一にもクレジットカード情報が漏洩した日には目も当てられないことになってしまう。そのようなことを防止するためにも、「PCI DSS」の認証取得に向けて動き始めてほしい。