NTT インターネット

決済情報コラム クレジット決済 PCI DSS対応について 加盟店向け 総合決済情報サービス

HOME決済情報コラム > PCI DSS対応を検討する加盟店が知っておくべき選択肢

PCI DSS対応を検討する加盟店が知っておくべき選択肢

2014年06月13日
最終更新日:2014年11月21日
 決済情報サービス事業部 営業部一同

かつてはSF小説の空想物だったクレジットカード

クレジットカード

”クレジットカード”という言葉は、1887年に発表された西暦2000年を舞台にしたSF小説「Looking Backward(著者:エドワード・ベラミー)」の中で、”ボール紙でできた、何でも自分の欲しいものをいつでも欲しい時に買えるもの”として登場します。それから120年以上が経ち、『クレジットカード』は現実世界で最もポピュラーな決済手段になりました。今では、日本国内だけでも約41兆円の市場規模となっています。

しかし、利用機会の急速な拡大に伴って、偽造カードの使用、他人によるなりすまし行為、カード情報の盗用などといった不正行為が絶えないのが現状です。結果的に加盟店からのクレジットカードの情報漏洩に繋がると社会的信用の失墜は避けられず、最悪の場合、事業継続が困難になることもあります。加えて損害賠償、原因究明調査など1件あたり数百万円とも言われる費用負担が発生します。

経済産業省の推進施策、PCI DSS

クレジットカードの不正使用被害額は、ピーク時の2000年(年間308.7億円、出典:一般社団法人日本クレジット協会)よりも大幅に減ってきてはいるものの、2013年では年間78.6億円にのぼっています。そのため、セキュリティ面の環境整備は大きな課題であり、経産省はICチップ、3Dセキュア、PCI DSSの3つの施策を推進しています。

※3Dセキュア・・・ECサイト等でクレジットカード決済を行う際に、本人認証のために用いる仕組み。


その中で、本コラムではPCI DSSについて取りあげます。PCI DSSとは、加盟店はもちろん、クレジット会員データの処理・保管・伝送に関わる全てのサービスプロバイダにおいて、「クレジットカード会員データを安全に取り扱う事」を目的として策定された、クレジットカード業界の国際的なセキュリティ基準です。Payment Card Industry Data Security Standardの頭文字をとったもので、6つの目的・12個の要件から構成されています。


図1:PCI データセキュリティ基準 概要(PCI DSS version2.0)


安全なネットワークの構築と維持:
1. カード会員データを保護するために、ファイアウォールをインストールして構成を維持する
2. システムパスワードおよび他のセキュリティパラメータにベンダ提供のデフォルト値を使用しない
カード会員データの保護:
3. 保存されるカード会員データの保護
4. オープンな公共ネットワーク経由でカード会員データを伝送する場合、暗号化する
脆弱性管理プログラムの整備:
5. アンチウィルスソフトウェアまたはプログラムを使用し、定期的に更新する
6. 安全性の高いシステムとアプリケーションを開発し、保守する
強固なアクセス制御手法の導入:
7. カード会員データへのアクセスを、業務上必要な範囲内に制限する
8. コンピュータにアクセスできる各ユーザに一意のID を割り当てる
9. カード会員データへの物理アクセスを制限する
ネットワークの定期的な監視およびテスト:
10. ネットワークリソースおよびカード会員データへのすべてのアクセスを追跡および監視する
11. セキュリティシステムおよびプロセスを定期的にテストする
情報セキュリティポリシーの整備:
12. すべての担当者の情報セキュリティポリシーを整備する

PCI DSS初回の認証取得に向けて

 PCI DSS 一般的には、PCI DSSの初回の認証取得までにかかる費用は数千万円〜数億円、期間は半年〜数年とされています。当社もクレジットカード決済のデータを扱うサービスプロバイダとして、安全なサービスを提供している証明として「PCI DSS Ver2.0」の認証を取得していますが、初回の認証取得までには以下のような準備が必要でした。

現状分析

まず、クレジットカードの情報を扱う業務・データの流れの全貌を洗い出し、要件の適合状況を確認していきます。その確認項目は、システムの設定・構成から情報セキュリティポリシー、委託先との契約状況まで広範囲にわたります。そのため、ITシステム部門や品質管理部門・法務部門など、組織を超えたメンバーの参加・協力が不可欠です。PCI DSSの認証取得に向けた第一歩として、全社的な推進体制を整えることが最初の壁と言えます。

対策方法立案、実施

現状分析の結果を受けて、システム面・運用面で様々なセキュリティ向上対策を講じます。しかしながら、セキュリティを強化すると操作性が低下したり、負担・手間が増えるケースが多々あります。また、直接的には売上に結びつきづらい施策ですから投資判断も難しくなりがちですが、社内外の関係者全てにセキュリティ強化の重要性について理解してもらい、皆が合意できる対策を立案・実施します。

審査対応

PCI DSSの要件は約300項目もあるため、審査のための証跡を準備するだけでも相応の準備が必要です。例として、サービスの稼働状況を証明するもの、システム設計書、情報セキュリティポリシー、各種管理表、変更管理の記録、セキュリティ教育の教材・実施記録などが挙げられます。

PCI DSSは、認証取得してからが「本番」

PCI DSSは一度認証を取得しても、それで終わりではありません。「クレジットカード会員データを安全に取り扱う事」という目的を達成するために、継続的なセキュリティマネジメントを実施することも求めているからです。日々新たに発生する脆弱性・ウィルスへの迅速な対処や、不測の事態が発生した場合の訓練など、数を挙げればきりがありません。 また、技術の進歩などのセキュリティを取り巻く環境の変化に対応するために、PCI DSSの要件は2年に1回のペースでバージョンが更新されます。したがって、新しい要件に対しての準拠状況をその都度確認し、それに合わせて対応する必要があります。

クレジットカードの情報をプロに委ねるという選択肢

クレジットカード決済の仕組みを全て自社で保持した上でPCI DSSの要件に準拠することは簡単ではありません。 そこで注目されているのが、既にPCI DSSを取得している事業者(=プロ)に自社の顧客のクレジットカードの情報管理を委託する方法です。

守るべき情報(クレジットカード会員データ)をプロにアウトソーシングすることで、より高度な安全性を確保するとともに、PCI DSSの準拠すべき要件そのものも減り、認証取得のハードルを下げることができます。管理負担の軽減にもつながり、本業にも集中できるため、クレジットカードの情報は非保持にすることが加盟店にとって最善の策と言えるでしょう。

※経産省が2014年7月に発表した「クレジットカード決済の健全な発展に向けた研究会の中間報告書」において、情報漏洩対策として「加盟店に対し、カード情報非保有化の徹底を図る。」と明記されています。


当社の「クレジットゲートウェイネットワークサービス」は、クレジットカードの情報をお預かりした上で、企業様と各クレジットカード会社を接続し、クレジットカード決済に必要なデータの中継を行うことができるサービスです。ご利用いただいている企業様の中には、PCI DSSの認証取得をわずか2ヶ月という短期間で実現された事例もございます。 クレジットカード決済のセキュリティ強化についてお考えの企業様は、どうぞお気軽にご相談ください。当社がPCI DSS認証を取得したノウハウを活かして、貴社に最適なクレジットカード決済の仕組みをご提案させていただきます。

営業部一同

クレジットゲートウェイネットワークサービス

資料請求・見積をご希望のお客様は、こちらからお申し込みください

資料ダウンロード お問合せ
PAGE TOP
COPYRIGHT(C) 1995-, NTT INTERNET INC.