2020.03.31

非保持は対応不要?PCI DSS準拠と対応要件ガイド

NEWS

PCI DSS準拠 対応要件ガイド

PCI DSSとは

PCI DSS(
Payment Card Industry Data Security Standard)とは、クレジットカード加盟店やサービスプロバイダにおいて、クレジットカード会員データを安全に取り扱う事を目的として策定された、クレジットカード業界のセキュリティ基準です。

American Express、Discover、JCB、MasterCard、VISAの国際カードブランド5社共同により設立した組織であるPCI SSC(Payment Card Industry Security Standards Council)によって運用、管理されています。



PCI DSSが生まれた背景

PCI DSSが策定されるまでは、加盟店は、国際カードブランドそれぞれが独自に運用していたリスク管理プログラムにが求める要求に応える必要がありました。しかし、ひとつの加盟店で複数のカードが使える仕組みである「マルチアクワイヤリング」が一般的となった現在では、加盟店が各ブランドの要求に対応することが非常に大きな負荷となります。

また、こうした状況と合わせて、インターネットの普及およびネット決済の普及とともに、大規模なクレジットカード被害も世界規模で発生するようになりました。これにより、従来のICカードによるカード偽造防止や対面取引における暗証番号での本人確認だけでは、こうした被害を防ぐには対策が不十分となってきました。

これらの事情により、加盟店のリスクとコストに対応できる仕組みを作るべく、国際カードブランド5社が手を合わせ、世界的に統一されたクレジットカード情報保護のためのセキュリティ対策フレームワークができる流れとなり、PCI DSSが生まれました。

PCI DSS 6つの目標と12の対応要件

PCI DSSの対応要件は以下の通りです。PCI DSSでは、6つの目標とそれに対応する12の要件が以下のように定められています。ここで重要なことは、「対象範囲を策定する」ことです。対象範囲にはクレジットカード情報を「保存、処理、または伝送」している、システム、組織、拠点、などあらゆる要素が対象となるため、準拠範囲をいかに狭めるかが重要となります。対象範囲を狭める事で、クレジットカード情報を扱う要素が低減され、それがリスクを低減させることに繋がります。また、対象範囲のセキュリティに影響を与える要素(主に社内OA系システム)も対象範囲に含める事が要求されるため、どの範囲が対象となるかはシステムや組織全体を見渡しながら関係性を洗い出し、適切な範囲に制限しながらも、漏れがない様にしていく事が重要です。

安全なネットワークとシステムの構築・維持

  •   要件1:カード会員データ保護のためのファイアウォールのインストールと構成の維持
  •   要件2:システムパスワードおよびその他のセキュリティパラメータにはベンダ提供のデフォルト値を使用しない

カード会員データの保護

  •   要件3:保存されるカード会員データの保護
  •   
要件4:カード会員データをオープンな公共ネットワーク経由で伝送する場合の暗号化

脆弱性管理プログラムの整備

  •   要件5:すべてのシステムをマルウェアからの保護とウィルス対策ソフトウェアまたはプログラムの定期的な更新
  •   要件6:安全性の高いシステムとアプリケーションを開発と保守

強固なアクセス制御手法の導入

  •   要件7:業務上必要な範囲内にカード会員データへのアクセスを制限する
  •   要件8:システムコンポーネントへのアクセスの確認と許可
  •   要件9:カード会員データへの物理アクセスの制限

定期的なネットワークの監視及びテスト

  •   要件10:ネットワークリソースおよびカード会員データへのすべてのアクセスの追跡および監視
  •   要件11:セキュリティシステムおよび管理手順の定期的なテスト

情報セキュリティーポリシーの維持

  •   要件12:すべての担当者の情報セキュリティポリシーの整備維持

 

PCI DSSの準拠が必要な事業体とは

では次に、PCI DSSの準拠が必要となる事業体についてです。PCI DSSの準拠が必要となる主な事業体としては以下のような例が挙げられます。なお、いずれも前提として各カードブランドが制定しているセキュリティー基準プログラムに準拠する必要があります。

・カード情報を「保存、処理、または伝送」している
・カードで決済を行う「加盟店」
・アクワイアラ等のカード情報を取り扱う事業体(サービスプロバイダ)
銀行、カード会社、決済代行事業者(PSP)
・年間のカード取引量(目安は600万トランザクション)に応じた準拠種別


 

PCI DSS準拠が想定される例

金融:クレジットカード会社(プリペイド含む)、銀行等のクレジットカード発行金融機関 
流通

小売り: 大手百貨店、スーパー、コンビニ、量販店、鉄道、航空会社

通信:携帯電話会社、通信会社、ISP

製造:ガソリンスタンド等の石油業界

その他:クラウドサービス事業者、ECサイト、決済代行業、QR決済、など

 

非保持は対応不要? PCI DSSを取り巻く状況

PCI DSSを取り巻く状況

「非保持化」は、クレジット取引セキュリティ対策協議会(事務局:(一社)日本クレジット協会)が定めた、クレジットカード情報保護対策のひとつの方法です。同協議会では、クレジットカードを規制する法律である「割賦販売法」におけるセキュリティ対策義務の実務上の指針とされる「実行計画」を定めています。実行計画に掲げる措置は、法令上の基準を満たしていると認められます。そのためクレジット取引関連事業者は、「実行計画」を指針とした取組を進めていく必要があります。

「実行計画2019」概要(実行計画の3つの対策)
①クレジットカード情報保護対策
加盟店におけるカード情報の「非保持化」、カード情報を保持する事業者のPCI DSS準拠
②クレジットカード偽造防止による不正利用対策
クレジットカードの「100%IC化」の実現、決済端末の「100%IC対応」の実
③非対面取引におけるクレジットカードの不正利用対策
リスクに応じた多面的・重層的な不正利用対策の導入
・経済産業省-割賦販売法https://www.meti.go.jp/policy/economy/consumer/credit/11kappuhanbaihou.html
・クレジットカード取引におけるセキュリティ対策の強化に向けた「実行計画2019」を取りまとめましたhttps://www.meti.go.jp/press/2018/03/20190304004/20190304004.html

実行計画の「非保持化」とPCI DSSの矛盾

実行計画の中で、加盟店で取り扱う一部のクレジットカード情報については、「非保持」扱いでよいとされています(例:紙媒体に記載のもの、音声データ上の情報、紙媒体をスキャンしたデータ(一部意訳))が、PCI DSSでの解釈は、紙媒体でも音声データでもスキャンデータでも、そこにクレジットカード情報が存在する場合は、保護対象とされています。(6,4マスク等で不可逆処理を行ってる場合等は除外可能、暗号化だけでは不可)

 

非保持は準拠不要?

非保持化をしているからと言っても、PCI DSSの準拠は一律不要という訳では有りません。カード情報を扱う際の契約先に確認する必要があります。どのような場合でも、クレジットカードを取り扱う場合はカード取扱いに関する事業体と、何等かの契約が必要となるため、契約先にPCI DSS準拠の必要有無、準拠種別を確認し、PCI DSS準拠準備の基本要件を確定させる必要があります。

法的にはOK(つまり非保持相当なので何もしない)でも、契約、セキュリティ的にはNG、ということは有り得ます。実際に、非保持としているECサイトからの情報漏洩も多発しているからです。

 

 例)カード情報を扱う際の契約先に確認

 ・カード発行会社なら →契約しているカードブランドに確認する
 ・対面加盟店なら →契約しているカード会社に確認する
 ・ECサイトなら →契約しているPSPに確認する

 

準拠証明の種類

PCI DSSに準拠するためには、PCI SSCが定めるいくつかのパターンがあります。

オンサイト監査


PCI SSCにより認定されたQSA:Qualified Security Assessor(監査会社)によるオンサイト監査を受ける方法。全てのイシュア、アクワイアラ、PSP、及び大手サービスプロバイダ等、取り扱い規模が大きな(600万トランザクション)事業者の多くで要求されている監査方法です。カードブランドやPSPと直接接続する場合には必須で要求されます。

監査は規模に応じて、数日から場合によっては数週間に及び、AOC(準拠証明書)とROC(準拠報告書、準拠レポート)とよばれるドキュメントが発行されます。

SAQ(自己問診)


PCI DSSの要求事項沿ったチェック項目に回答していく方式です。SAQにはさまざまな種類があり、内容も専門的であるため、PCI DSS要件書や用語集等を読み解きながら、チェック項目に記載されている意図を理解した上で回答していく事が必要となります。

またSAQには回答者と共に、その内容に責任を持つ所属事業体の経営層の署名がないと、有効な自己問診とみなされない場合も多くあります。そのため、問診内容についてQSAの認証を得る「SAQ AOC」という準拠証明方式もあります。

SAQは、加盟店向けに決済方法の実装によりいくつか種類があり、適切なものを選択する必要があります。またPSPやカード会社から指定される場合も多いが、不明な場合は予め確認が必要となります。

ASVスキャン


Webサイトから侵入されて、情報を盗み取られることがないか、PCI SSCによって認定されたベンダ(ASV:Approved Scanning Vendor)のスキャンツールによって、四半期に1回以上のテストを行いパスすることにより、そのサイトに脆弱性のないことの証明書を入手する方法です。パスしなかった場合はプログラムの修正を行い、パスするまで再診断が必要となります。

オンサイト監査を行う場合、SAQで自己問診を行う場合、いずれの場合でもWebサイトでクレジットカード情報を扱っている場合は、四半期に一度ASVの証明書を入手することがPCI DSS準拠の条件となります。

PCI SSCが認定するベンダ


QSA、ASV、PFI(準拠後、クレカ漏洩事故があった場合等にフォレンジック調査をする認定専門機関)、PA-DSSやP2PEなど、PCI SSCが認定するベンダは、英語サイトで検索できます。

・PCI SSC
https://www.pcisecuritystandards.org/

※日本サイトには限られた情報しか掲載されないため、英語サイトを定期的にチェックする事も重要

 

準拠証明の期間

通常は1年間(年1回準拠状況を確認される事が多い)ただし対象範囲に変更があった場合は再監査が必要。

 

準拠までの道のり

準拠までの道のりは以下の通りとなります。
マキナレコードでは、これらの項目すべてに対応しています。

 


著者プロフィール
戎 正人(Masato Ebisu) / シニア・コンサルタント 株式会社マキナレコード 

長年のシステム構築運用を経験した後、監査機関にてPCI DSS QSA(Qualified Security Assessors)として、金融機関やカード会社をはじめ、クラウド利用が多いスタートアップベンチャーなど数十社のPCI DSS監査及び、準拠に向けた体制/業務構築支援を実施。現在はマキナレコードにて「ちゃんとしたセキュリティを、すべての企業に」というビジョンのもと、セキュリティコンサルティングを担当。


 

CONTACT

お問い合わせ

サイバーインテリジェンスに関する詳細等、
お気軽に お問い合わせください。