PCI DSSとは？要件や審査方法、認証を取得しているチャットサポート事例について紹介

「PCI DSSとは一体何だろう？」
「PCI DSSを満たす要件について詳しく知りたい」

このようにお考えではないですか？

PCI DSSとは、クレジットカードを取扱う事業者が準拠すべき国際的なセキュリティ基準のことです。

PCI DSSはハッカーやクラッカーからの不正アクセスなどからクレジットカード情報を守るために策定されたものです。クレジットカード利用者のリスクを低減させるためにも、PCI DSSへの加入は必須事項と言えます。

実際、現在日本の法律でもPCI DSSへの加入は原則として定められています。

この記事では、PCI DSSの基礎知識を中心に、加入の必要性や加入する具体的な方法など以下の内容を詳しく解説します。

この記事のポイント

・PCI DSSとはPCI DSSの要件
・クレジットカード加盟店は原則としてPCI DSS準拠が必要
・PCI DSS対応への4つのステップ
・PCI DSS認定審査の3つの方法

この記事をお読みいただくことでPCI DSSの必要性や加入の方法など、必要な情報を網羅できると思います。この記事を参考に、ぜひPCI DSSの申請に役立てていただければ幸いです。

1 1.PCI DSSとは
- 1.1 1-1.PCI DSSとはクレジットカード業界のセキュリティ基準のこと
- 1.2 1-2.PCI DSS取得のメリット
2 2.PCI DSSの12の要件
3 3.クレジットカード加盟店は原則としてPCI DSS準拠が必要
- 3.1 3-1.PCI DSS準拠が必要となる企業
- 3.2 3-2.カード情報非保持化すれば準拠は必要ない
4 4.PCI DSS認定審査の3つの方法
5 5.チャットサポートにPCI DSS認証を取得した「Secure Path」を連携した事例
6 まとめ

1.PCI DSSとは

この章では、PCI DSSの基礎知識として以下の3つの内容を詳しく解説します。

それぞれ見ていきましょう。

1-1.PCI DSSとはクレジットカード業界のセキュリティ基準のこと

冒頭でも解説した通り、PCI DSS（Payment Card Industry Data Security Standard）とは、クレジットカードと取扱う事業者が準拠すべき国際的なセキュリティ基準のことです。以下国際ブランドによって策定されました。

・American Express
・Discover
・JCB
・MasterCard
・VISA

クレジットカードのセキュリティ基準というのは、元々はそれぞれの各国際カードブランドが独自で設定されているものでした。しかしクレジットカードを取り扱う加盟店は基本的に、複数のカードブランドに加盟することが一般的です。その場合、加盟ブランドごとのセキュリティ基準にそれぞれ準拠する必要がありました。これは加盟店にとって大きな負担となっていたのです。

また近年はEコマース（EC決済サービス）が増加している背景もあり、決済方法もグローバル化が進んでいます。それに伴ってサイバー攻撃も増加の傾向があり、クレジットカード情報は常に危険にさらされていると言います。

そこでできたのが世界的に統一されたクレジットカード情報保護のためのセキュリティ対策フレームワークPCI DSSです。PCI DSSの要件をクリアすることで、これまでのようにそれぞれの加盟店での基準に対応する必要なく、より安全なクレジットカード情報の保護が可能となったのです。

1-2.PCI DSS取得のメリット

PCI DSSを取得する事のメリットとしては、大きく分けて以下の3つが挙げられます。

・セキュリティリスクを低減できる
・問題が起こった時のペナルティを回避できる可能性がある
・顧客への信用を向上できる

PCI DSSを取得することで、セキュリティリスクを低減できます。PCI DSSは国際的に定められたセキュリティ基準です。5つの国際クレジットカードブランドが策定したもので、PCI DSSを準拠することによりハッカーやクラッカーなどの不正アクセスのリスクを低減できます。

実は、PCI DSSに準拠せずにカード情報の漏洩や不正アクセスがあった場合には、改善命令や罰金などの違反に対する措置がとられる可能性があります。

また、PCI DSSに加入しているだけで信頼性の高い事業であると顧客にアピールできるというメリットもあります。PCI DSSに加入するためには厳格な審査をクリアする必要があります。PCI DSSに加入しているということは、国際的に安全性を認められていえるでしょう。

2.PCI DSSの12の要件

それではここで、PCI DSSに加入するために策定されている加入要件を見てみましょう。PCI DSSを導入するかどうかを決定するには、まずはその要件にどんなものがあるかを把握する必要があります。

PCI DSSは認証を得るのに時間もコストもかかります。自社で準拠する必要があるか、以下の要件を見て判断してみましょう。

安全なネットワークとシステムの構築と維持

1.ネットワークセキュリティコントロールの導入と維持
2.すべてのシステムコンポーネントにセキュアな設定を適用する

アカウントデータの保護

3.保存されたアカウントデータの保護
4.オープンな公共ネットワークでの送信時に、強力な暗号化技術でカード会員データを保護する

脆弱性管理プログラムの維持

5.悪意のあるソフトウェアからすべてのシステムおよびネットワークを保護する
6.安全なシステムおよびソフトウェアの開発と維持

強力なアクセス制御手法の導入

7.システムコンポーネントおよびカード会員データへのアクセスを、業務上必要な適用範囲によって制限する
8.ユーザの識別とシステムコンポーネントへのアクセスの認証
9.カード会員データへの物理アクセスを制限

ネットワークの定期的な監視およびテスト

10.システムコンポーネントおよびカード会員データへのすべてのアクセスをログに記録し、監視すること
11.システムおよびネットワークのセキュリティを定期的にテストする

情報セキュリティポリシーの維持

12.組織の方針とプログラムによって情報セキュリティをサポートする

出典：Payment Card Industryデータセキュリティ基準｜PCI

3.クレジットカード加盟店は原則としてPCI DSS準拠が必要

ここまでにも解説した通り、クレジットカード加盟店は原則としてPCI DSS準拠が必要となります。

ここでは、PCI DSSに加入する必要のある企業や、導入が必要ではない条件など以下の内容について詳しく解説します。

それぞれ、見ていきましょう。

3-1.PCI DSS準拠が必要となる企業

PCI DSS準拠が必要となるのは、カード情報を取り扱う全ての事業者と法律で定められています。

・クレジットカード加盟店
・決済代行会社
・イシュア（クレジットカードを発行・提供する会社）
・アクワイアラ（クレジットカードの加盟店管理会社）　など

PCI DSSへの準拠が必要となる業界としては、主に以下が挙げられます。

・金融業：クレジットカード会社、金融機関
・流通業：大手百貨店、スーパー、量販店、航空会社、鉄道
・通信行など：携帯電話会社、通信会社、新聞
・製造業：石油業界など

3-2.カード情報非保持化すれば準拠は必要ない

ここまで解説した通り、クレジットカード情報を取り扱う事業者は原則としてPCI DSSへの準拠が必要となります。しかし、実はカード情報非保持化を行えばPCI DSSへの準拠は必要ありません。

カード情報の非保持化とは、自社サーバーにおいてカード情報を「保存」「処理」「通過」しない事を言います。

PCI DSSを取得するには費用もかかりますし、時間もかかります。企業規模の小さな事業者がその都度PCI DSS準拠のためにコストをかけることは現実的ではありません。そのために生まれた方法がカード情報の非保持化です。

カード情報の非保持化は、自社で決済を行ったとしても自社のサーバーを通過しない方式の決済システムを活用することで、カード情報非保持化できるという仕組みです。

これを読んでいる方の中でも、ECサイトなどで決済を行おうとしたときに、決済専用サービスへ遷移して決済を行ったという経験がある方も多いのではないでしょうか？
これがカード情報非保持化の具体的な例です。

このように利用者側が認識しない決済画面に切り替わることがなくカード番号を入力できる「トークン決済」と呼ばれるシステムが使われている場合もあります。これは、利用者のカード情報を別の文字列に置き換えて決済を行う方法です。

カード情報非保持化には様々なサービスがあり、事業者はサービスと契約することで非保持化を行うことが可能です。

4.PCI DSS認定審査の3つの方法

それではここからは、PCI DSSに対応するための３つの審査方法について解説します。

それぞれ見ていきましょう。

4-1.訪問審査

PCI国際協議会認定の審査機関であるQSA（Qualified Security Assessor）による訪問審査が行われます。

PCI DSSは対象範囲によって審査の内容が異なるため、訪問審査が必要なのは「レベル3」または「レベル4」の事業者となります（「レベル3」は「推奨」）。

4-2.サイトスキャン

サイトスキャンは、万が一Webサイトから外部者に侵入された際に情報を盗み出すことができないかを調査するための作業です。PCI国際協議会認定のベンダーのツールによってサイトスキャンが行われます。

「レベル2」以上に該当する全ての事業者が、サイトスキャンを行う必要があります。

4-3.自己問診（SAQ）

PCI DSSの要求事項に基づいたチェック項目に回答して、準拠しているかどうかをチェックします。こちらはセルフチェックで問診を行い、全ての項目が「Yes」であれば準拠が認められます。

「レベル1」の事業者はこの自己問診（SAQ）だけで準拠が可能です。レベル2～3の事業者も自己問診が必要となりますが、同時にサイトスキャンなどの実施も必要となります。

5.チャットサポートにPCI DSS認証を取得した「Secure Path」を連携した事例

トランスコスモス株式会社はモビルズ株式会社の提供する「Secure Path」を、株式会社オリエントコーポレーション（以下「オリコ」）のチャットサポートに導入しました。

「Secure Path」は、モビルズが独自開発したセキュリティ課題を解決する、PCI DSS認証を取得したサポートツールです。以前はセキュリティ認証の観点からその業務範囲が限定的となっていたオリコのチャットサポートにおいて、顧客の個人情報を受けて対応できるシステムに変化しました。

これにより、チャットのサポート範囲を拡大してチャット利用率を向上し顧客へのエフォートレスな体験を提供することが可能となります。

今後はトランスコスモスが提供するチャットサポートソリューション「DEC Support」において「Secure Path」導入を進めることで、チャットサポートの利便を高めてコンタクトセンターの業務効率化と顧客満足度の向上を目指します。

詳しくは、「トランスコスモスとモビルス、オリエントコーポレーションのチャットサポートに「Secure Path」を導入し、運用を提供」を参考にしてみてください。

またトランスコスモスが提供するチャットサポートソリューション「DEC Support」については以下ソリューションページで詳しくご紹介しています。こちらも是非ご覧ください。

「DEC Support」について詳しくはこちら

まとめ

以上この記事では、PCI DSSの基礎知識を中心に、加入の必要性や加入する具体的な方法など以下の内容を詳しく解説してきました。

この記事のポイント

この記事をお読みいただくことでPCI DSSの必要性や加入の方法など、PCI DSSの申請に役立てていただければ幸いです。