Square Guide

PCI DSSとは:事業者が知っておくべき安全なカード情報の取り扱いのはなし

クレジットカードを取り扱う、もしくは取り扱いを考えているならPCI DSSの理解は欠かせません。しかし、全てを理解するのは気が遠くなる作業です。重要なポイントをまとめた本ガイドをまずご一読ください。

概要

PCI DSSの手引

ビジネスの規模が拡大するに伴い、事業者とその顧客の機密情報を安全に保つことは重要な課題になってきます。決済に関する情報もその一つです。

Credit card with EMV chip

商売や決済を支えるテクノロジーは進歩します。新しいテクノロジーには、事業者と顧客の双方の利益を守るために新しい規定や規制が伴います。Payment Card Industry Data Security Standard (ペイメント・カード・インダストリー・データ・セキュリティ・スタンダード、以下PCI DSS)は、クレジッドカード会員の個人情報や決済データの漏洩リスクを低減することを目的に、クレジットカードの国際ブランド5社によって策定された基準です。しかしながら、PCI DSSを全て理解しようとするのは、事業者にとって気が遠くなるような作業です。

この手引では、PCI DSSの中でも事業者と顧客の情報の安全を守るために、重要なポイントをお伝えしていきます。

PCI DSSについてより詳しく知りたい方はPCI SSC(PCI Security Standards Counsil)が提供する安全なペイメントのガイドをご覧ください。

よくある質問

PCI DSSに関する、6つのよくある質問

PCI DSSとは?

PCI DSSは「Payment Card Industry Data Security Standard(ペイメント・カード・インダストリー・データ・セキュリティ・スタンダード)」の略称で、事業者や団体組織に対して、クレジットカードによる決済を受け付ける際に、情報漏えいや不正アクセスを防止し、カード情報の受け取りから決済が完了するまでの全てのプロセスを安全に行うために必要な基準を定めたものです。

PCI DSSの認定が必要な事業者は?

厳密には「PCI認定」といったものは存在しませんが、金融機関や決済サービス事業者はもちろん、個人事業主や法人など、事業規模にかからわず、クレジットカードを取り扱う際にはPCI DSSに準拠する必要があります。

PCI DSSの準拠にはレベルはありますか?

PCI DSSには4つのレベルがあります。レベルごとに異なる準拠事項があり、どのレベルに属するかは年間の取引数によって決まります。

PCI DSSの準拠には費用はかかりますか?

新たにPCI DSSに準拠し、また今後も継続して準拠する場合、事業規模によりますが年間でおおよそ1,000米ドルから50,000米ドルの費用がかかります。

PCI DSSの自己評価アンケートに答える必要はありますか?

PCI DSSの自己問診(SAQ)は、PCI DSSを運営するPCI Security Standards Councilが作成・運用をしている19ページから87ページに渡るチェックリストです。
PCI DSSに準拠しているかどうかを事業者自らが確認できるようなリストになっています。Squareをご利用の場合は、Squareが提供するソフトウェア、ハードウェア自体がPCI DSSに準拠しているので、SAQによる確認を加盟店が行う必要はありません。

PCI DSS未対応によって発生する費用はありますか?

はい、費用は発生します。PCI DSSに準拠しない場合、情報漏えい等に伴う罰金、カードの再発行費用、監査や調査にかかる莫大な費用を負担することになります。金銭的なダメージだけでなく、信頼や評判といったブランドイメージもダメージを受けます。

詳しく知る

PCI DSSが策定された経緯

PCI DSSは2004年に初版が策定され、2006年以降普及が加速したと言われています。その頃にはすでにインターネットは社会全体に普及し、どの業種にとっても欠かせないツールになっていました。ネット社会が成熟するにつれて、企業はこれまでオフラインで行っていた決済のやり取りにインターネットを活用するようになりました。
一方で、消費者もオンラインと実店舗の両方で、クレジットカードをショッピングに活発に活用するようになりました。

PCI DSSが生まれた経緯には、このようなインターネットの普及とクレジットカードの利用増加が背景にあります。インターネットを利用した決済の普及によって、安全性の低いネットワークや決済システムから不正行為者によるカード情報の窃盗は増加し、事業者と消費者は今まで以上に危険に晒されるようになりました。

増加する被害への対応策として、クレジットカードの国際ブランドであるVisa、MasterCard、Discover、American Express、JCBの5社は、クレジットカード会員の個人情報や決済データの漏洩のリスクを低減することを目的にPCI DSSを策定しました。これ以降、PCI DSSはクレジットカード業界において安全性の担保に欠かせない基準になりました。

国際ブランド5社は、PCI DSSの運用・管理先として独立した組織であるPCI Security Standards Council(以下、PCI SSC)を設置しました。PCI SSCは、PCI DSSの普及と教育を通して、安全性を脅かす存在の監視とセキュリティの強化を目指しています。

ここで重要なのは、事業者が国際ブランドのクレジットカードを扱う際に、PCI DSSはカードブランドによって準拠が強く推奨されているということです。日本では経済産業省が2020年までに事業者に対してPCI DSSの準拠を進める実行計画を定めています。

国際ブランドはカード決済を取り扱う事業者に対してPCI DSSの準拠を要求し、PCI SSCは基準の管理・運用母体として準拠に必要な手続きといった実務を担っています。

alt text

PCI DSSについてさらに深く解説する前に、一つご理解いただきたいのは、クレジットカードはほとんどの場合、安全な決済手段です。EMVのような新しいテクノロジーや規格のおかげで、その安全性はさらに高まっています。一方で、世界トップシェアのカードブランドでも情報漏えいのリスクと全く縁がない訳ではありません。

PCI DSSについて、過去に耳にしたことのある人もいたのではないでしょうか。PCI DSSに準拠することは、機密情報の漏えい、なりすまし被害、個人情報の窃盗といった犯罪から事業を守ることにつながります。

PCI DSSとは

PCI DSSは「Payment Card Industry Data Security Standard (ペイメント・カード・インダストリー・データ・セキュリティ・スタンダード)」の略称であり、事業規模の大きさに関わらず、クレジットカードによる決済を受け付ける全ての事業者を対象に、カード情報の受付、保管、処理、伝送に至るまでのプロセスを安全に行うために策定された基準です。

クレジットカード決済を受け付ける事業者は、情報漏えいを防ぐためにPCI DSSを準拠する必要があります。準拠事項には社内の情報セキュリティ保護方針の策定から、端末やネットワークからのカード情報を消去することまで事細かく定められています。

クレジッドカード会員情報、または決済データから読み取られる情報にはカード番号、カード会員の氏名、セキュリティコードそして有効期限が含まれます。事業者もクレジットカードに含まれているこれらの機密情報を守る責任があります。

Anatomy of a credit card

上記の図に示しているのは、クレジットカードに含まれる固有の機密情報です。これらの情報は保存しないようにしてください。もし、保存する場合は適切な理由と安全に保管できる環境を整備していることを証明する必要があります。

機密情報の漏えいからを守るためには、カード情報がどのようにして盗まれるのかを事前に理解しておく必要があります。
例えば、

  • 欠陥のあるクレジットカードリーダー
  • 脆弱な決済システムのデータベース
  • カード情報入力画面の隠し撮り
  • 店舗内のネットワークへの不正アクセス
  • カード情報を含んだ書類の盗難

といった手段で情報が盗まれることがあります。

従って、会計時にお客様のカードを預かるところから始まって、クレジットカード会員の個人情報や決済データの扱いには細心の注意を払わなければいけません。

Counter top signage

PCI DSSは以下の範囲に適応されます:

  • カードリーダー
  • POSシステム
  • 店舗内のネットワークとルーター
  • カード情報の保管と伝送システム
  • カード情報を含む書類
  • オンラインでの注文や支払い情報

ここまでの説明でもう既にお気付きかもしれませんが、PCI DSSの準拠は一朝一夕でできることではありません。情報セキュリティ保護方針の制定・運用や高額なソフトウェア・周辺機器の導入といった環境整備から、定期的な第三者機関による監査や問診表を使った自己評価といった手順を踏む必要があります。

PCI DSSの各レベルとその要求事項とは

PCI- DSSの準拠には4つのレベルが定められています。レベルごとに要求事項は異なり、年間の取引数によってどのレベルに当てはまるかが決まります。

スモールビジネスの65%は最低限の要求に応えられていない。

ここでポイントとなるのは、各レベルごとに要求事項が異なる点です。
例えば、取引数が多い事業者の場合(詳細は下記の表をご覧ください)は、PCI SSCによる認定を受けた内部監査役(ISA)や監査会社(QSA)、セキュリティ評価ベンダー(ASV)といった、担当者や第三者機関の存在が準拠の過程で必要になってきます。

各レベルには事業者に求められる要求事項が明記されています。準拠には全ての要求事項を満たす必要があります。複雑な対応が求められるため、外部のコンサルタントに頼る大企業も多くいます。

すべての事業者は過去12ヶ月間における取引数によって4レベルのうち、どれかに該当します。カードブランドごとに要件が異なりますが、各レベルは下記の表のように分かれます。

PCI DSSレベル

レベル 加盟店要件 要求事項*
1 1) 年間取引数が600万件以上の事業者

2) 過去に情報漏えいを起こしたことがある事業者

3) カードブランドがレベル1だと判定した事業者
年に1回の認定監査会社、もしくは内部監査役による現場監査報告

4半期ごとの認定セキュリティ評価ベンダー(ASV)によるネットワークのスキャン

準拠証明書
2 年間取引数が100万から600万件の事業者 自己問診(SAQ)による評価

認定セキュリティ評価ベンダー(ASV)によるネットワークスキャンの通過証明

準拠証明書

上記の書類を提出。その他、カード発行会社指定の書類がある場合は、一緒に提出すること。
3 年間の電子商取引数が2万件から100万件の事業者 自己問診(SAQ)による評価

認定セキュリティ評価ベンダー(ASV)によるネットワークスキャンの通過証明

準拠証明書

上記の書類を提出。その他、カード発行会社指定の書類がある場合は、一緒に提出すること。
4 年間の電子商取引数が2万件未満の事業者

年間取引数が100万件以下の事業者
自己問診(SAQ)による評価

認定セキュリティ評価ベンダー(ASV)によるネットワークスキャンの通過証明

準拠証明書

上記の書類を提出。その他、カード発行会社指定の書類がある場合は、一緒に提出すること。

EMV chip card

PCI DSSに未対応の場合は

PCI DSSについて詳しく知らない、もしくは未対応の場合に発生する事態について知らない人は少なくありません。

PCI DSSに法的拘束力はありませんが、だからいって守らなくてもいいわけではありません。
実際、米ベライゾン社が発行する2015年版データ漏洩/侵害調査報告書では、調査対象国61カ国、対象企業・組織70のうち、年間でおおよそ8万件もデータ漏洩や侵害による被害が起きています。事業者にとって、決済プロセスの安全性を保つことは今まで以上に重要な課題になっています。

PCI DSSに準拠していない場合、情報漏えい等に伴う罰金、カードの再発行費用、監査や調査にかかる莫大な費用を負担する可能性が出てくる上、ブランドイメージにも傷がつきます。

事実、30%のスモールビジネスがPCI DSS 3.0.未対応によって起こる罰則を知らない。

罰則に関しては一般に公表はされないものの、経営に良い影響はありません。
例えば、事業者によるPCI DSSの不遵守が発覚した場合、カードブランドは毎月5,000ドルから100,000ドルもの罰金をカード会社から徴収する可能性があります。カード会社はこの罰金を事業者に負担させたり、もしくは事業者との契約を打ち切ったり、取引手数料を引き上げたりする可能性があります。

これらの財政上の負担に加えて、他にも経営にとって痛手となる点が出てきます。
PCI DSSの不遵守、もしくは情報漏えいがあった場合、以下の事項が引き起こる可能性があります:

  • 信用低下に伴う顧客離れ
  • 売上の減少
  • カード再発行費用
  • 不正利用被害
  • コンプライアンス遵守にかかる費用の高額化
  • 弁護士や裁判費用
  • 罰金、違約金
  • カード取扱契約の終了
  • 経営陣の解任
  • 廃業

Paying with credit card

PCI DSS準拠にかかる費用は

米ビジネスワイヤ社を通して、IHL社が発表した調査レポートは、
「PCI DSSは小売業が情報セキュリティにかける予算の55%を占めています。小売業者が受け付けるクレジットカードのうち、75%はEMV準拠のICチップ搭載カードです。ICチップへの対応は、PCI DSSに加えてさらに資金面で負担になる一方で、小売業者は両方に対応しなければいけません。」
と報告しています。

PCI DSSの準拠とその維持には、事業の内容や規模、準拠するレベルによってかかる費用が異なります。

一般的な費用は:

レベル4:毎月60ドルから

認定セキュリティ評価ベンダー(ASV)による定期的なネットワークスキャン、問診表(SAQ)による自己評価、準拠証明書の取得費用が含まれます。

Level 3: レベル3:年間1,200ドルから

認定セキュリティ評価ベンダーによる定期的なネットワークスキャンは対象のネットワークとIPアドレスの数によって費用が異なります。また、問診表(SAQ)による自己評価、準拠証明書の取得費用が含まれます。

レベル2:年間10,000ドルから50,000ドル

セキュリティ評価ベンダー(ASV)による定期的なネットワークスキャンは対象のネットワークとIPアドレスの数によって費用が異なります。また、問診表(SAQ)による自己評価、準拠証明書の取得費用が含まれます。

レベル1:年間50,000ドルから

セキュリティ評価ベンダー(ASV)による4半期ごとのネットワークスキャン、認定監査会社(QSA)による年に1回の監査、準拠証明書の取得費用が含まれます。

外部委託する際はどこまでが費用に含まれるのか、必ず確認を。

Squareがあなたに代わってPCI DSSを準拠します

Squareでは事業者のみなさまに代わってPCI DSSに準拠していますので、事業主自らでPCI DSSの基準を満たしているかどうか確認する必要はありません。

  1. SquareではPCI DSSのレベル1に準拠した製品を提供しています。PCI DSS準拠に伴う、月額の固定費や年間の査定費用など、追加の費用は必要ありません。
    準拠を継続するためにかかる費用もありません。また、特別なご契約も必要ありません。
    Square側でお客様のカード情報の保存、伝送を行いますので、事業主ご自身がPCI DSSのために手続きをしたり費用を負担する必要は一切ありません。

  2. Squareではすべての取引を記録したうえで、皆様の安全を確保できるよう日々尽力しております。ビジネスオーナーの皆様が事業に集中できるよう、Squareはクレジットカード会社との間を取り持ち、さまざまなコンプライアンスや規制、各種プロセスに対応します。また決済に関する間違いや支払い異議申し立てが発生した際は、なるべく速やかに解決するようサポートいたします。

  3. Squareの安全性は事業主とその顧客の両方を守るためにも設計されています。ネットワークやウェブサイト、クライアントアプリはすべて業界標準のセキュリティ基準に準拠した管理を実施、社内では厳しい規約を全社員が遵守しています。
    Squareはカード決済した時点で決済情報を暗号化し、自社サーバーでトークン化して保存します。取引に関する情報は売上代金が口座に入金されるまで常時モニタリングされます。また、カード情報の読み取りから決済完了まで、不正の監視にも努めています。Squareは様々なアルゴリズムを活用しながら不正取引を検出し、取引完了まで加盟店様とお客様の両方を見守っています。