ニュースレター
知っておきたい最新情報を毎月お届けいたします。
PCIDSS(Payment Card Industry Data Security Standard)は、American Express・Discover・JCB・ マスターカード・VISAの国際 カードブランド5社が共同で策定した、クレジットカード情報および取引情報の保護を目的としたグローバルセキュリティ基準です。上記5社がPCISSC(Payment Card Industry Security Standards Council)を設立し、PCI関連基準の策定・維持、評価手順の確立、認定審査会社の教育・試験等を実施しています。PCISSCが管理する基準にはPCIDSSの他にPA-DSS(Payment Application DSS)、 PTS(PIN Transaction Secutity)があります。
PCIDSSは、2004年12月の制定後、2006年9月にバージョン1.1、2008年10月にはバージョン1.2が公開されました。
2010年10月28日に バージョン2.0が発行され、2011年1月1日から施行されます。
PCIDSSバージョン2.0は、新たな要求事項の追加は無く、要求事項の明確化、PCIDSSと他基準との整合性の確保などがその主な変更事項となります。
PCIDSSはカード会員情報を格納、処理、又は伝送するすべてのメンバー機関、加盟店、サービスプロバイダに対して適用するとされており、その内、カード取扱件数が多い(加盟店の場合、VISA:600万件以上、マスターカード:600万件以上、JCB:100万件以上、American Express:250万件以上)事業者はPCISSCが認定する審査会社による準拠性確認が必要とされています。
認定審査機関による準拠性確認には次の種類があります。
(1)QSA(Qualified Security Assessor)
訪問審査を行い、PCIDSSの順守状況を確認・判定する。
(2)ASV(Approved Scanning Vendors)
PCIDSS要件11.2に規定される、脆弱性スキャンサービスを提供するベンダー。
★エイエスアールはPCISSCからQSAとして認定を受けています。
エイエスアールは、2010年10月までに1社準拠性確認を実施いたし
ました。
今後もエイエスアールは、QSAとしてクレジットカード情報および取引情報の保護に貢献して参ります。
クレジットカードのセキュリティに関しては、「不正使用」が即金銭的な被害につながることから、歴史的にその取り組みが重視されていました。
カード技術の進歩により、偽造カードによる不正については一定の技術的なめどが立ったともいえる一方で、ネット販売利用の急速な普及から「カード情報の漏洩」による問題がクローズアップされています。
2005年に大手プロセッサ(決済代行事業者)による大規模なカード情報漏えい事件が発生したことを教訓として、米国においては
国際カードブランドを中心としたPCIDSSへの取り組みが強化されています。加盟店やサービスプロバイダなどに対してPCIDSSへの準拠が複数の州法において義務化されている状況なども、米国においてPCIDSSが注目される背景となっています。
日本においても、2007年末から2008年にかけてe-コマースサイトにおけるクレジットカード情報の流出事件・事故の多発がみられ ました。また、2008年6月に可決された改正割賦販売法により、クレジットカード情報をより厳しく管理することが求められるよう になることから、PCIDSSへの関心はさらに高まっています 。