PCI DSSとは？最新版「v4.0」の要件や準拠手順をわかりやすく解説

クレジットカードやデビットカードなどのペイメントカードにまつわる情報を守るべく、セキュリティの国際統一基準として設けられた「PCI DSS(Payment Card Industry Data Security Standard）」。Visaなど国際ブランドのペイメントカードを取り扱う事業者は、このPCI DSSの最新に準拠することが求められます。

今回の記事では、PCI DSSの概要や準拠手順、最新バージョンである「v4.0」の要件について詳しく解説します。

PCI DSSとは？

「PCI DSS」とは、国際ブランド5社（American Express、Discover、JCB、MasterCard、Visa）が共同で策定したカード情報（＝アカウントデータ）にまつわるデータセキュリティの国際基準のこと。カード情報の流出が起こらないように、 カード情報および、それを扱う環境を保護するための技術面、運用面の対策が求められています。

インターネットの急速な発展に伴い、サイバー攻撃が複雑かつ巧妙なものになり、カード情報の流出や、ペイメントカードの不正利用などの大規模な被害が懸念されています。カード情報は流出した場合、成りすましによる不正利用など経済的な損害に及ぶことが多いため、PCI DSSは「目指すべき理想のセキュリティのあり方」ではなく「最低限、必ず守られるべき基準」という位置付けになっています。

PCI DSSの要件

PCI DSSは、6つの目標とそれに紐づく12の要件からなります。

【安全なネットワークとシステムの構築と維持】

• 要件1：ネットワークセキュリティコントロールの導入と維持
• 要件2：すべてのシステムコンポーネントにセキュアな設定を適用する

【アカウントデータの保護】

• 要件3：保存されたアカウントデータの保護
• 要件4：オープンな公共ネットワークでの送信時に、強力な暗号化技術でカード会員データを保護する

【脆弱性管理プログラムの維持】

• 要件5：悪意のあるソフトウェアからすべてのシステムおよびネットワークを保護する
• 要件6：安全なシステムおよびソフトウェアの開発と維持

【強固なアクセス制御の実施】

• 要件7：システムコンポーネントおよびカード会員データへのアクセスを、業務上必要な適用範囲（Need to Know）によって制限する
• 要件8：ユーザーの識別とシステムコンポーネントへのアクセスの認証
• 要件9：カード会員データへの物理アクセスを制限する

【ネットワークの定期的な監視とテスト】

• 要件10：システムコンポーネントおよびカード会員データへのすべてのアクセスをログに記録し、監視すること
• 要件11：システムおよびネットワークのセキュリティを定期的にテストする

【情報セキュリティポリシーの維持】

（参照：「「Payment Card Industry データセキュリティ基準 要件とテスト手順 v4.0」日本語版」2022年3月）

PCI DSS v4.0：要件8 のエンドポイントに求められる認証セキュリティ強化を『SmartOn』で | ネットアテスト

クレジットカードを扱うカード業界には、カード情報を守るために定められたデータセキュリティの国際基準「PCI DSS」があります。カード情報を扱う事業者やカード会員データ環境のセキュリティに影響を与える可能性がある事業者は、その基準に準拠しなければなりません。2022年3月に新しく...

netattest.com

PCI DSS v4.0：要件11 ネットワーク認証のセキュリティ強化のポイント | ネットアテスト

クレジットカードのカード情報を守るために定められたデータセキュリティの国際基準「PCI DSS」は、2022年3月に約8年半ぶりとなるメジャーバージョンアップが行われました。この記事では、PCI DSS において難易度が高い要件の一つである、無線LAN（Wi-Fi）セキ...

netattest.com

PCI DSSと日本の法律（割賦販売法）の関係 

日本においては、クレジットカードの規制法である「割賦販売法」で、クレジットカード情報を取り扱う事業者に対して、カード情報保護対策を義務付けています（割賦販売法第35条の16の1〜7）。その実務上の指針となる『クレジットカード・セキュリティガイドライン』では、法律で定めるカード情報保護義務を負う事業者を具体的に定義し、それぞれに対して求めるカード情報保護対策の方法を定めています（図1）。図にある通り、加盟店を除くカード情報保護義務を負う事業者には、PCI DSS準拠が求められます。これらの事業者がPCI DSSに準拠していない場合は、カード情報保護対策を行なっていないとみなされ、業務改善命令（割賦販売法第35条17）や罰金（同第51条6の5）などの罰則が課せられることがあります。

注意したい「加盟店」の扱い

一方で、加盟店（クレジットカード会社と契約している小売店など）に対しては、例外的な措置がとられています。割賦販売法では加盟店にもカード情報保護対策が義務付けられていますが、他の事業者と異なり、加盟店には罰則規定がありません。

また、『クレジットカード・セキュリティガイドライン』では、加盟店のカード情報保護のための方策として、PCI DSS準拠に加え、カード情報を自社システムで保存・処理・伝送しない「非保持化」が選択肢として認められています。『クレジットカード・セキュリティガイドライン』の附属文書には、EC加盟店、EC以外の通販加盟店（電話オーダーなど）、対面加盟店それぞれについて、非保持と認められるシステムの構成が具体的に記載されています。

「非保持化」は日本独自の基準です。これが認められるようになった背景には、2018年施行の改正割賦販売法で加盟店にもカード情報保護が義務付けられた際に、「小さな企業や店舗への経済的な負担が大きい」「日本全国のすべての加盟店にPCI DSS準拠させるのは現実的でない」といった議論がありました。そのため、「そもそもカード情報を自社で保持していなければ窃取されることはない」という考え方で、非保持化もPCI DSS準拠と同様にカード情報保護に有効な方策として整理されたのです。

しかし現実には、非保持化済みのEC加盟店からも、後述する「オンラインスキミング」という攻撃手法によりカード情報流出事件が多数発生しています。オンラインスキミングでは、消費者がWebブラウザの決済フォームに入力した情報が直接攻撃者に送信されるため、カード番号や有効期限だけでなくセキュリティコードまで窃取されてしまいます。そのためEC加盟店がカード情報を保存・処理・伝送していなくてもカード情報が流出するということになるのです。このことから、最新の『クレジットカード・セキュリティガイドライン』では、非保持化済みのEC加盟店に対して、脆弱性対策、ウイルス対策、管理者権限の管理、デバイス管理などの基本的な対策を追加で実施することを求めています。また今後は、日本独自の基準を改め、加盟店にも他のカード情報を取り扱う事業者と同様、PCI DSS準拠が求められるようになる可能性も考えられます。

繰り返しになりますが、カード情報の流出は、経済的な実害を与える可能性が非常に高いです。その実害は、当事者となった加盟店に賠償請求されるケースが多いです。加盟店もセキュリティに対する意識をさらに高め、これまで以上により強固なセキュリティ対策を講じる必要があります。

PCI DSS v4.0 バージョンアップのポイント

情報セキュリティの 脅威 は絶えず変化しており、それに伴って対策も変化させていかなければなりません。PCI DSSの策定・管理を行う「PCI SSC（PCI Security Standards Council）」は、カード情報の流出が発生した際に調査を行うPFI（認定フォレンジック機関）が作成する事件調査レポートにより、最新のサイバー攻撃事例や脅威動向を常に把握しています。PCI DSSは、これらを反映して、継続的にアップデートされています。

2018年のv3.2.1のリリースから4年、メジャーバージョンアップとしてはおよそ8年半ぶりとなる2022年4月、PCI DSS v4.0がリリースされました。

v3.0がリリースされた2013年当時から脅威が変化したのはもちろんのこと、決済サービスを含む金融の領域においてパブリッククラウドの活用が当たり前のものになったり、セキュリティ機能の提供やコードレビューを手がける多様なクラウドサービスが新たに登場したりと、環境も大きく変化しています。

こうした変化をふまえ、今回のバージョンアップによって全部で73の要件が新規で追加され、68の要件が更新されました。

＜追加・更新された主な要件の例＞

• 消費者のブラウザにおいて読み込み・実行されるすべての決済ページスクリプトのインベントリを文書化し、管理する。（要件6.4.3）
   
• グループアカウントや共有アカウントなど、共有された認証情報は例外的に必要な場合のみ使用し、使用にあたっては定められた方法で正しく管理する。（要件8.2.2）
   
• カード会員データ環境にアクセスするすべてのアカウントの接続に、多要素認証を要求すること（要件8.4.2）

特に強化された点として、2018年ごろから全世界で被害が増加している「オンラインスキミング」への対策が挙げられます。オンラインスキミングは、決済フォームを改ざんしたり不正な外部スクリプトを読み込ませることで、決済フォームから入力されたカード情報を消費者のWebブラウザから攻撃者に直接送信する手法です。上記の「追加・更新された主な要件の例」の中で、要件6.4.3と要件11.6.1がオンラインスキミング対策として新たに追加された要件になります。

これらはあくまでも変更点の一部です。他にも、リスク管理や検証の指針となる要件が更新されたほか、クラウドサービスを要件に取り込むための変更、サービスプロバイダ向けの要件の追加などが行われています。

（参照：PCI SSC「Payment Card Industry データセキュリティ基準 要件とテスト手順 v4.0日本語版」2022年3月）

PCI DSS v4.0への準拠に向けて

PCI DSSの対象となる事業者は、期日までにPCI DSS v4.0をふまえたセキュリティ対策を実施し、所定の方法で準拠を確認する必要があります。ここでは対応スケジュールと準拠の手続きについて解説します。

対応スケジュール

PCI DSS v3.2.1の有効期限は2024年3月31日までとなり、以降のすべての検証・評価はPCI DSS v4.0、もしくはそれ以降に更新されたバージョンで行わなければなりません。事業者は文書作成やシステム改修、新たなソリューションの導入、運用の見直しを計画的に進める必要があります。

ただし、v4.0で追加された要件のうちシステム的な負担が大きな要件については「ベストプラクティス」に区分され、2025年3月が対応期限となります。2024年3月時点でベストプラクティスに対応できていなくても不適合と見なされることはないため、まずはその他の必須の要件から順に対応を進めていきましょう。

準拠までの流れ

PCI DSS準拠を確認する方法には、

• 訪問審査
• 自己問診

の2つがあります。確認の方法は、取り扱うカード会員データの規模や事業形態などをふまえて、加盟店契約カード会社（アクワイアラ）もしくはVisaなど国際ブランドが決定します。

【訪問審査】

PCI SSCの認定を受けた認定審査機関「QSA」（Qualified Security Assessor）が、セキュリティ対策・運用、情報の取り扱い状況などについてのインタビューやシステムや文書のレビューによって準拠状況を審査・評価し、準拠証明書を発行する方法です。業態や取引規模によって準拠証明書をアクワイアラもしくは国際ブランドに提出することがあります。

【自己問診】

PCI SSCが公開する自己問診票（SAQ：Self-Assessment Questionnaire）を用い、事業者が自ら準拠を確認する方法です。10種類のSAQが公開されており、業種・業態やカード情報の取り扱い方法にあわせて適切なSAQを選択します。PCI DSSの要件への対応状況を「はい」「代替コントロール（技術上・ビジネス上の制約があり要件に対応できない場合の代替手段）で対応」「いいえ」「該当なし」のいずれかで回答します。署名済みのSAQをアクワイアラもしくは国際ブランドに提出することがあります。

まとめ

PCI DSSは、対象となる事業者は全ての要件に準拠することが必須の基準です。ただし、PCI DSSは「基準を満たしていれば万全」という考え方ではなく、お客様の大切なカード情報を守るために、まずは満たすべきスタートラインにあたる基準です。カード情報を取り扱う事業者は、最低限の対策としてPCI DSSに準拠した上で、情報収集を行いながらそれぞれの事情に合わせた独自のアプローチを上積みする、「２階建てのセキュリティ」 を築いていくことが求められます。

監修：瀬田陽介（ｆｊコンサルティング株式会社 ）