PCI DSSの手引
ビジネスの規模が拡大するに伴い、事業者とその顧客の機密情報を安全に取り扱うことは重要な課題になってきます。決済に関する情報もその一つです。
商売や決済を支えるテクノロジーは進歩します。新しいテクノロジーには、事業者と顧客の双方の利益を守るために新しい規定や規制が伴います。
Payment Card Industry Data Security Standard (ペイメント・カード・インダストリー・データ・セキュリティ・スタンダード、以下PCI DSS)は、クレジットカード会員の個人情報や決済データの漏洩リスクを低減することを目的に、クレジットカードの国際ブランド5社によって策定された基準です。PCI DSSを全て理解しようとするのは、事業者にとって気が遠くなるような作業です。
この手引では、PCI DSSの中でも事業者と顧客の情報の安全を守るために、重要なポイントをお伝えしていきます。
PCI DSSについてより詳しく知りたい方はPCI SSC(PCI Security Standards Counsil)が提供する安全なペイメントのガイドをご覧ください。
PCI DSSに関する、6つのよくある質問
1. PCI DSSとは?
PCI DSSは「Payment Card Industry Data Security Standard(ペイメント・カード・インダストリー・データ・セキュリティ・スタンダード)」の略称で、事業者や団体組織に対して、クレジットカードによる決済を受け付ける際に、情報漏えいや不正アクセスを防止し、カード情報の受け取りから決済が完了するまでの全てのプロセスを安全に行うために必要な基準を定めたものです。
2. PCI DSSの認定が必要な事業者は?
厳密には「PCI認定」といったものは存在しませんが、金融機関や決済サービス事業者はもちろん、個人事業主や法人など、事業規模にかからわず、クレジットカードを取り扱う際にはPCI DSSに準拠する必要があります。
3. PCI DSSの準拠にレベルはありますか?
PCI DSSには4つのレベルがあります。レベルごとに異なる準拠事項があり、どのレベルに属するかは年間の取扱高によって決まります。
4. PCI DSSの準拠に費用はかかりますか?
新たにPCI DSSに準拠し、今後も継続して準拠していく場合、事業規模によって年間でおおよそ1,000米ドルから50,000米ドルの費用がかかります。
5. PCI DSSの自己問診に答える必要はありますか?
PCI DSSの自己問診(SAQ)は、PCI DSSを運営するPCI Security Standards Councilが作成した19ページから87ページに渡るチェックリストです。PCI DSSに準拠しているかどうかを事業者が自ら確認できるようなリストになっています。
Squareをご利用の場合は、Squareが提供するソフトウェア、ハードウェア自体がPCI DSSに準拠しているので、加盟店がSAQを使って確認する必要はありません。
6. PCI DSS未対応によって発生する費用はありますか?
PCI DSSに準拠しない場合、情報漏えい等に伴う罰金、カードの再発行費用、監査や調査にかかる莫大な費用を負担することになります。金銭的なダメージだけでなく、信頼や評判といったブランドイメージもダメージを受けます。
Squareがあなたに代わってPCI DSSに準拠します
Squareは事業者に代わってPCI DSSに準拠しています。そのため、事業者自らPCI DSSの基準を満たしているかどうかを確認する必要はありません。その理由をご説明します。
1. SquareはPCI DSSのレベル1に準拠した製品を提供しています。
PCI DSS準拠に伴う、月額の固定費や年間の査定費用など、追加の費用は必要ありません。準拠し続けるためにかかる費用もありません。また、特別な契約も必要ありません。Square側でお客様のカード情報の保存、伝送を行いますので、事業者自身がPCI DSSのために手続きしたり費用を負担する必要は一切ありません。
2. Squareはすべての取引を記録したうえで、皆様の安全を確保できるよう日々尽力しています。
事業者の皆様が事業に集中できるよう、Squareはクレジットカード会社との間を取り持ち、さまざまなコンプライアンスや規制、各種プロセスに対応します。また決済に関する間違いや支払い異議申し立てが発生した際は、なるべく速やかに解決するようサポートいたします。
3. Squareの安全性は事業者とその顧客の両方を守るために設計されています。
ネットワークやウェブサイト、クライアントアプリはすべて業界標準のセキュリティ基準に準拠した管理を実施し、社内では厳しい規約を全社員が遵守しています。Squareはカード決済した時点で決済情報を暗号化し、自社サーバーでトークン化して保存します。取引に関する情報は売上代金が口座に入金されるまで常時モニタリングされます。また、カード情報の読み取りから決済完了まで、不正の監視にも努めています。Squareは様々なアルゴリズムを駆使しながら不正取引を検出し、取引完了まで加盟店様とお客様の両方を見守っています。
Squareの安全性について詳しくは、セキュリティのページをご一読ください。