サイトマップ

公開日: :

PCIDSS

まえがき

クレジットカード関連の犯罪態様は、大きく分けて、偽造カードにによる犯罪とIT関連の犯罪に2分されれます。換言すると、実社会(face to face)における犯罪と、サイバー空間における犯罪の2つです。

前者は業界の努力により漸減傾向にありますが、後者は近年ますます多種多様、巧緻化、広範化しています。その根っこにはいつもクレジットカードの個人情報が絡んでいます。

PCIDSSはこのような環境の下で生まれてきました。PCIDSSは難しい内容を多く含んでいます。ITオンチの私にはその技術的な仕組はわかりません。

せめてPCIDSSの大雑把な輪郭だけでも知りたいと考え、表面的な外観を出来るだけわかり易くかつ簡単に説明することを試みました。

結果としてごちゃごちゃ書くことになりましたが、これはあくまで私個人の勉強から得た私的意見であり、いかなる関連企業の見解でもありません。あらかじめお断りしておきます。

1. PCIDSSとは

Payment Card Industry Data Security Standardの頭文字です。直訳すると、「クレジットカード業界の情報保護基準」となります。

2004年12月に、5大国際ブランドカード会社が共同して、クレジットカード業界で取扱うカード会員の個人情報を安全に守るために策定し、世界的に統一した「6つの目的と12のセキュリティ基準」です。その後、PCIDSSは社会の動きに応じて数回version upされ、現在はVer3.0(2015年4月15日改定)となっています。

なお、PCIDSSの基準には、PCIDSSのほかにPA-DSS(Payment Card Industry Standard Council(注1)とPTS(PIN Transaction Security(注2)とがあります。

(注1) ペイメント・アプリケーション・データ・セキュリティの基準です。すでにPCIDSSに準拠した当事者でも、決済アプリケーションを使用する場合は、PA-DSSに準拠したものを使用しなければなりません。
(注2) POS等の決済アプリケーションが守るべき基準です。

2. PCIDSS の誕生

前述しましたとおり、サイバー犯罪は急速に巧妙化、悪質化してきました。各クレジットカード会社やカード関連企業は、カード不正行為を防止すべく独自の対策をとってきました。

しかし、セキュリティ対策を構築するためには時間もお金もかかります。一方、犯罪リスクは急速に多様化していきます。

そこで,これらの対策にかかわる各社バラバラの取組、各種・各様なセキュリティ指針を誰かが中心となって包括的に決めることはできないか、という声が高まってきました。

この要望に応えたのが、VISA, MasterCard, などの国際ブランドカード会社でした。2001年以降、VISAは、ネットセキュリティ対策として米国内向けにCarholder Information SecurityProgramを、また米国外地域向けにAccount Information Security と称するプログラムを運用していました。

一方、MasterCardもSite Data Protection というプログラムを採用していました。JCBもAMEXも勿論独自のセキュリティプログラムを展開していました。

各国のカード会社は、VISAやMasterCard等のこれらのプログラムを歓迎していましたが、クレジットカード会社のほとんどは、5大国際ブランド・クレジットカード(AMEX, Discover, JCB, MasterCard, VISA)に重複加盟(duel menber)しています。

しかも、クレジットカード会社の重要な収益源である加盟店もいくつかの大手クレジットカード会社と重複的に加盟店契約を結すんでいます(multi-aquiring)。カード会社が国際ブランカードのそれぞれのセキュウリティプログラムに一つ一つに対応すると時間もコストも嵩みます。

そこで、これらのクレジットカード会社や加盟店側から、国際ブランドカード会社に対し「これらさまざまなプログラムを統一化することはできないか」という要望が出てきました。

国際ブランドカード5社ががこの要望に応えて生まれてきたのがPCIDSSです。

3. PCIDSSが定める6つの目的と12のセキュリティ基準

PCIDSSは、以下A~Fに示す6つの目的と、(1)~(12)に示す12の基準を定めています(これら12の基準の下でさらに200超の細かいルールが定められています)。

これらの目的と基準は、まず前提として、ISMS (注1)、PDCAサイクル(注2)、クラウドWatch (注3)、CIS(注4)、プライバシーマーク制度(注5)と呼ばれる5つのセキュリティ基準と整合性を保持しています。以下、6つの目的と12の基準をわかりやすく述べておきます。

(注1) Information Security Management System.組織(部局、課、係など)における情報のセキュリティを管理し、組織の情報資産について機密性、安全性,共用性をバランスよく改善・維持する仕組みです。

(注2) Plan(計画)、Do(実行)、Check(評価)、Act(改善)の頭文字です。企業活動における生産管理や品質管理などの管理業務を円滑に進める手法です。この4段階を繰り返すことによって事務の流れを継続的に改善することを狙っています。

(注3) 営業活動において、顧客・商談の管理や販売予測に使う高性能・巨大なCPUサービスです。

(注4) Central Information Systems㈱。産業用イメージングシステムのソフトの開発から販売までを一貫して行っている企業です。

(注5) 個人情報保護の体制を整備している企業を認定する制度です。

6つの目的

A.安全なネットワークの構築と維持
B.カード会員のデータの保護
C.脆弱性を管理するプログラムの整備
D.強固なアクセス制御手法の導入
E.定期的なネットワークの監視およびテスト
F.情報セキュリティ・ポリシーの整備

12の基準

(1) ファイアウオールを導入し適切に維持すること。
(2) パスワードやその他セキュリティパラメータに、民間のベンダーが提供するデフォルト値(注)を使用しないこと。
(注)コンピュータのユーザーが入力するはずの値が入力されなかった場合に備えて、システム側あらかじめ用意しておく値です。たとえて言えば、予備鍵、隠し鍵です。

(3) データを安全に保護すること。
(4) カード会員の情報等を送信する場合は、すべて暗号化すること。
(5) ウイルス対策ソフトを利用して定期的にこのソフトを更新すること。
(6) 安全なシステムとアプリケーションを開発・保持すること。
(7) 業務目的別に、カード会員データへのアクセスを制限すること。
(8) コンピュータにアクセスできる職員を制限すること。
(9) カード会員情報へのアクセスを制限すること。
(10) 会員情報へのアクセスを追跡し、監視すること。
(11) セキュリティシステムおよび管理手順を定期的にテストすること。
(12) 従業員と契約社員のための情報セキュリティに関するポリシーを整備すること。

4. PCIDSSの認証機関

2つの機関が働いています。

  • QSA(Quorified Security Assessor)

各企業に対し訪問審査を行い、PCIDSSの遵守状況を確認・判定します。

  • ASV(Approved Scanning Venders)

PCIDSSの基準(5)に規定する脆弱性スキャンサービスを提供します。

5. PCIDSS遵守は義務付けられているのか

クレジットカード業界では各企業はPCIDSSを遵守するすることを義務付けられているのか、という質問いに対する答えとしてはyesとnoの2説があり、はっきりしません。法的な義務と民間の契約による義務の二つに分けて整理してみます。

民間契約上での義務付けは?

  • PCIDSSを策定したVISA,やMasterCardなどの国際ブランド5社は、民間団体として一定のセキュリティ基準を設けただけであり、その遵守を義務付けしてはいません。PCIDSSの運営・管理はいっさい後述6.のPCISSCに任せるとしており、自らが準拠したクレジットカード会社等を認定したり、リストアップしたりすることはありません。
  • クレジットカード会社と加盟店との間で締約される加盟店契約には、とくにPCIDSSという文言は挿入されていませんが、カード会員の個人情報を保護する義務を厳しく定めています。違反すればペナルティを課す場合もあります。

法的な義務付けは?

改正割賦販売法は、クレジットカード取引関連の個人情報の管理義務については第三節35条の三~で詳しく言及していますが、条文には具体的にPCIDSSの文言はありません。

日本クレジット協会に具体的な規制を任せています。これを受けて、日本クレジット協会は、2011年に実行計画を発表し、「クレジットカードの情報保護基準をPCIDSSに置く」旨を発表し、加盟店とクレジットカード会社に対しては2018年3月までに、ネット通販会社に対しては2013年3月までに、PCIDSSを遵守するよう定めていますが、この実行計画には強制力はなく、守らない企業に対するペナルティの規定はありません。

なお、割販法が定める個人情報保護義務は、PCIDSSをクリアしていればこの義務を遵守している証しとなる、と解されているようです。

6. PCIDSS関連団体等

  • 経済産業省は、「クレジットカード決済の健全な発展に向けた研究会」が2014年7月に発表した中間報告で、2020年の東京オリンピック向けて「世界で最もクレジットカード利用が安心・安全な句に日本」のキーワードの下、PCIDSSへの準拠は効果的な取組と表明しました。
  • 経済産業省は、「クレジット取引セキュリティ対策協議会」(2015年3月設立)の活動方針の中で、「カード情報の保護について」の項目でPCIDSS基準に言及しました。
  • PCISSC (PCI Security Standards Council)
    2006年、PCIDSSを制定したブランドカード5社が共同して設立した独立した機関です。PCIDSSの維持と管理ならびに前述したQSAとASVの認定・管理を主な目的としています。
  • 日本クレジット協会
    「日本におけるクレジットカード情報管理強化に向けた実行計画」(2011年3月発行)において、クレジットカードの情報保護基準をPCIDSSに置くと発表しました。
  • 日本カード情報セキュリティ協議会(JCDSC)
    Japan Card Data Security Consortium。2009年設立。ECサイト運営業者やクレジットカード会社、決済代行会社を対象に、カード情報保護の重要性についての啓発活動に従事しています。
  •  iiD㈱イード
    セキュリティ関連ニュースを取扱うプロのシステム管理者向けて、情報誌を発行しています。
  • EC決済協議会
    決済代行業者7社(注)が2012年8月に設立した機関です。PCIDSSに準拠し、カード会社など関係事業者・団体と提携しながらセキュリティ基準などの遵守に取り組むことで安心安全な決済サービス利用環境を整備し、関係企業のPCIDSS準拠を後押ししています。
    (注)サーバーソース、GMOペイメントゲートウエイ、スマートリンクネットワーク、ソフトバンク・ペイメントサービス、デジタルガレージ、ペイジェント、ベリトランスの7社

7. PCIDSS準拠のメリット

  • 準拠することにより、企業の信用、ブランドが向上します。
  • 準拠することにより、より具体的なセキュリティポリシーが確立され、不正アクセスによるサイトの改ざんや悪用、情報盗用などのリスクが低減します。
  • 加盟店が準拠していれば、カード情報が流失して不正使用された場合でも、その加盟店の管理責任があるアクワイアラに求められる損害補償義務が免責されます。
  • 企業は通常、自社で独自にセキュリティ手段を考案・設計しているわけですが、PCIDSSに準拠すれば、PCIDSSがこの問題を自動的に決めてくれるので、企業は「考えなくてよい」ことになり、考える時間、コスト、責任のありかなどの重荷から解放される、というメリットを享受できます。

8. PCIDSSの遵守状況

PCIDSSの準拠がひろく謳われていますが、実際には、クレジットカード業界のすべての企業が適切にPCIDSSに準拠しているわけではないようです。

日本クレジット協会の実行計画に従わない場合のペナルティも不明確であり、かつ、準拠にコストが嵩むので、企業側に切迫感がなく、いたずらに時間が過ぎ準拠に手間取る企業が多い、と言われています。

9. PCIDSSの問題点

  • PCIDSSは、「融通が利かない」と言われています。ある企業のシステムがパスワードを作成する段取りで「6文字以上」と設計され、また変更の期間が120日ごとと設計されている場合、PCIDSS(8文字以上、90日ごと)は、このシステムの設計をあくまで自己の設計どうりに変更することを求めるので(頑固でお目こぼしがない)、企業は自社の既存のシステムをPCIDSSの基準に合わせるよう変更せねばならず、時間とコストの負担を強いられることとなり、準拠することを躊躇うケースがあるそうです。
  • 「PCIDSSは曖昧だ」と言われることがあります。企業は自前のOS,アプリケーションをもち、それぞれの業務環境の中で活動しています。
    PCIDSSは、これらの個々の企業の環境・都合をどう変えていくべきか、については具体的な指示は示していません。

10. むすび

最後に、思いついたことを3つ。

(1)PCIDSSは、情報セキュリティにに関する具体的なプログラムを示し、ネットワークやアプリケーションの強度テストにもクリアーし、定量化され具体化された方策を備えており、その基準は他業界からも高く評価されています。米国ではクレジットカード業界に関係のない他の業界も、次に示すように、PCIDSSがもつ応用範囲の広さに目をつけて、これを利用する動きが始っています。

  • PCIDSSに準拠していると契約締結上有利な立場を占めることができる。
  • 情報漏洩の事件が発生した場合は、PCIDSSの採用の有無がものをいう。
  • PCIDSS遵守の有無は、代行業者を選定する場合一つの目安となる。

日本では、PCIDSSを遵守していると、割賦販売法で定められている個人情報の保護義務が免責されるケースが多いと言われています。

(2)PCIDSSは「国内で行われる海外発行のカード取引の障害になる」すなわち、カード売上の伸びを抑える、という噂が時々耳に入ります。この噂が本当かどうか、いろいろ調べましたがよく分かりません。

PCIDSS にしっかり準拠した国内加盟店の端末に、PCIDSSに準拠していない海外のカードがswipeされると、そのカードの取引は拒否される(すなわちカード取引の伸びがストップされる)ことになるのではないか、というのが私の推測です。

なお、次に述べることはPCIDSS準拠の有無問題以前の問題ですが、外国発行のすべてのクレジットカードによるキャッシングを受け入れるいわゆるグローバルATM(勿論PCIDSSに準拠しています)の展開台数がわが国では大幅に不足していることも、カード取引のさらなる伸びを妨げている要因の一つではなかろうか、という点を指摘しておきます。

(3)2016年1月から、いわゆるマイナンバー制度(社会保障・税番号法)が動き出します。国民一人ひとりの所得。資産、プライバシーまでを丸裸にしてしまうことができるこの法律について、不安・不満と個人情報の漏洩を懸念する声があちこちで囁かれています。

不正利用を監視・監督するために2016年1月に設立される個人情報保護委員会が少しでもPCIDSSの内容に留意されることを切望します。

関連記事

クレジットカードの素描(カードの目的)

カードの目的 大別すると、個人専用、法人専用、個人事業者専用(ビジネス)、福祉専用等のカード、

記事を読む

提携カードの種類

提携カードは通常次ぎの4種類に分けられます。カード会社と提携企業との間のカード発行にかかわるコス

記事を読む

暗号

1. 暗号とは 暗号とは「通信内容を第三者に知られないように文章を符号化し安全かつ効率よく送る

記事を読む

加盟店をめぐる犯罪

まえがき 加盟店というとすぐ頭に浮かぶのは、コンビニ加盟店(セブンイレブンの店)やクレジッ

記事を読む

暗証番号

まえがき ATMやパソコン、スマホの操作はいまや日常茶飯事となっています。そして、この操作

記事を読む

Ⅱ 信用照会端末とCAFIS

どの業界においても、業者間には熾烈なシェア争いが繰り広げられています。カード業界も決して例外では

記事を読む

個人信用情報機関

現在活躍している個人信用情報機関 個人信用情報の中身 個人を特定するための

記事を読む

情報流失

まえがき 日本年金機構、数年前までは社会保険庁と称し、杉並区の拙宅の近所に広い敷地を構えて

記事を読む

ユーシーカード

まえがき ユーシーカードとDiners Clubとには共通点が一つあります。それは、「本体

記事を読む

クレジットカードを規制する法律

1. まえがき わが国には現在、クレジットカード取引を単独で規制する法律はありません。ケー

記事を読む

特別企画:自他ともに認めるカードオタク小河氏コラム トンボの目:カードビジネスを俯瞰する 審査に不安…でもクレカが欲しい!そんな方にオススメの1枚 クレジットカード審査に落ちる2つの理由と対策 | クレジットカード審査まとめ.com スモールビジネスカードなら あなたの知らない! クレジットカード社会の真実
プリペイド決済の光と陰<5>

シームレスに決済(支払い)が完了し、現金どころかカードもスマホも必要としない新しい決済社会が訪れるのも、決して遠い将来ではないと、最近の科学技術の進展…

カードバカ連載 カードあれこれ 第16回「カードの本質と、ビジネスマッチングと、天啓」(後編)

半世紀近くクレレジットカード一筋に関わってきた“カードバカ”が、カードに関するあれこれを、独自の切り口で語ります。…

カードバカ連載 カードあれこれ 第16回「カードの本質と、ビジネスマッチングと、天啓」(前編)

半世紀近くクレレジットカード一筋に関わってきた“カードバカ”が、カードに関するあれこれを、独自の切り口で語ります…

カードビジネスを俯瞰する 

プリペイドカード事業を規制するプリカ法(前払式証票の規制等に関する法律)が施行されたのは平成2年10月1日です。 …

カードビジネスを俯瞰する 

本論に入る前に、「カードバカ連載」で小河先生から過分な言葉を頂きました。お礼を言うのは私の方です …

プリペイド決済の光と陰<2>

クレジットカードビジネスは事業性を確立し堅調な成長を遂げています。ではプリペイドカードビジネスはどうでしょうか。…

カードバカ連載 カードあれこれ 第15回「人の縁と、カード(第6回目の続編)」

半世紀近くクレレジットカード一筋に関わってきた“カードバカ”が、カードに関するあれこれを、独自の切り…

トンボの目 カードビジネスを俯瞰する

はじめに 今回、初めて執筆メンバーとなりました中村敬一です。 末藤先生の功績、小河先生のこれまでの労作を拝見し…

カードバカ連載 カードあれこれ 第14回―(5)「キャッシュレス社会と、人の幸福」

半世紀近くクレレジットカード一筋に関わってきた“カードバカ”が、カードに関するあれこれを、独自の切り口で語ります…

カードバカ連載 カードあれこれ 第14回―(4)「キャッシュレス社会と、人の幸福」

半世紀近くクレレジットカード一筋に関わってきた“カードバカ”が、カードに関するあれこれを、独自の切り口で語ります…

カードバカ連載 カードあれこれ 第14回―(3)「キャッシュレス社会と、人の幸福」

半世紀近くクレレジットカード一筋に関わってきた“カードバカ”が、カードに関するあれこれを、独自の切り口で語ります…

カードバカ連載 カードあれこれ 第14回―(2)「キャッシュレス社会と、人の幸福」

半世紀近くクレレジットカード一筋に関わってきた“カードバカ”が、カードに関するあれこれを、独自の切り口で語ります…

カードバカ連載 カードあれこれ 第14回―(1)「キャッシュレス社会と、人の幸福」

半世紀近くクレレジットカード一筋に関わってきた“カードバカ”が、カードに関するあれこれを、独自の切り…

カードバカ連載 カードあれこれ 第13回 「ATMでのカードキャッシング不正使用事件」

半世紀近くクレレジットカード一筋に関わってきた“カードバカ”が、 カードに関するあれこれを、独自の…

カードバカ連載 カードあれこれ 第12回 「未来予測の3回連載 アップ後の余話」

半世紀近くクレレジットカード一筋に関わってきた“カードバカ”が、カードに関するあれこれを、独自の切り口で語ります……

カードバカ連載 カードあれこれ 第11回 「カードの未来ってどうなる? その(3)」

半世紀近くクレレジットカード一筋に関わってきた“カードバカ”が、カードに関するあれこれを、独自の切り…

カードバカ連載 カードあれこれ 第11回 「カードの未来ってどうなる? その(2)」

半世紀近くクレレジットカード一筋に関わってきた“カードバカ”が、カードに関するあれこれを、独自の切り…

カードバカ連載 カードあれこれ 第11回 「カードの未来ってどうなる? その(1)」

半世紀近くクレレジットカード一筋に関わってきた“カードバカ”が、カードに関するあれこれを、独自の切り…

クレジットカード業界の二つの3C

まえがき クレジットカード業界には、前述しましたように審査の分野で3つのC, すなわち、character , capacityそしてcollateralの頭文字があります。 この業界…

PCIDSS

まえがき クレジットカード関連の犯罪態様は、大きく分けて、偽造カードにによる犯罪とIT関連の犯罪に2分されれます。換言すると、実社会(face to face)における犯罪と、サイバー空間に…

政府 vs クレジットカード業界

まえがき これまで政府は、クレジットカード業界(以下、業界と称します)に対してどのようなスタンスを取ってきたか、に焦点を当てて考えてみることにします。 この業界は純国産ではありません。…

カードバカ連載 カードあれこれ 第10回 「日本人は、なぜ現金好きか?」 (後編)

半世紀近くクレレジットカード一筋に関わってきた“カードバカ”が、カードに関するあれこれを、独自の切り…

加盟店をめぐる犯罪

まえがき 加盟店というとすぐ頭に浮かぶのは、コンビニ加盟店(セブンイレブンの店)やクレジットカードの加盟店です。…

悪徳商法のかずかず

まえがき 悪徳商法は昔から存在していました。筆者の幼い頃の記憶です。よく「押し売り」が裏口から入り込み、…

クレジットカード犯罪・トラブル関連判例集

判例を読むと「どうして裁判官はこんなに難しい言葉を使っでくどくどと物を書くのか」という気持ちうかびます。…

カードバカ連載 カードあれこれ 第10回「日本人は、どうして現金好きなんでしょうか?(前編)」

判例を読むと「どうして裁判官はこんなに難しい言葉を使っでくどくどと物を書くのか」という気持ちうかびます。…

ザル法と無法地帯

まえがき 皆さんご存知のとおりクレジットカードについては直接的に全体を規正する法はありません…

オレオレ詐欺

1. オレオレ詐欺とは オレオレ詐欺(振込め詐欺)とは被害者に電話を掛けたり葉書を送ったりして対面することなく相手を騙し…

ATMをめぐる犯罪と対策

まえがき ATMは、現金大好きな日本の社会を支える重要なインフラの一つとなって、われわれの日常生活に溶け込んでいます…

カードバカ連載 カードあれこれ 第9回 「蕎麦打ちと放送大学と、カード」

半世紀近くクレレジットカード一筋に関わってきた“カードバカ”が、カードに関するあれこれを、独自の切り…

消費者金融とメガバンク

まえがき 世の中には、これから社会人として第一歩を踏み出そうとする若い人、主婦、中小企業の経営者、あるいは多重債務に苦しんでいる人などを…

クレジットカード四方山話

まえがき クレジットカード業界の消え去る一老兵の四方山話を聞いてください。いろいろ経験しました。いろいろなハプニングがありました。

クレジットカードと保険

まえがき クレジットカード業界の保険制度は、カード会社が秘扱いにしており、さらに保険会社の隠蔽体質が重なって厚いベールに包まれています。

フィンテック(FINTECH)

まえがき 私は、数日前(2015年3月)、何気なくNHKのテレビニュースを聞いていて無意識のうちに姿勢をただしました。

ユーシーカード

まえがき ユーシーカードとDiners Clubとには共通点が一つあります。

クレディセゾン

まえがき 帝国ホテルインペリアルタワーの一郭を占めた創立早々のVISA International 東京事務所の応接室で、私が初めて

カードバカ連載 カードあれこれ 第8回 「キャッシュレスは、個人消費だけの世界なの?」(後編) 

皆さん、こんにちは。カード研究家の小河です。前回は、キャッシュレスとは、個人消費だけの世界ではない」という持論の前編を書きました。

カードバカ連載 カードあれこれ  第7回 「キャッシュレスは、個人消費だけの世界なの?」(前編)

半世紀近くクレレジットカード一筋に関わってきた“カードバカ”が、カードに関するあれこれを、独自の切り口で語ります。

  • クレジットカード業界の健全な発展を願ってやまない元業界人。
    半世紀以上在籍し、業界を知り尽くしているがゆえにクレジットカードの素晴らしさを多くの方に伝えたい。と考えております。
    また、私の後輩が本サイトの運営を手伝ってくれていますので彼からは、ゴールドカードや年会費無料カードをはじめ使えば使うほどお得なカード情報なども提供いたします。
    さらにカード業界の著名人にもご登場いただきクレジットカードを持ちたいが何かしらの事情(審査、延滞等)で持てない方などのために有益な情報をご提供いたします.

PAGE TOP ↑