クレジットカードセキュリティの基礎と「PCI DSS」について

クレジットカードセキュリティの基礎と「PCI DSS」について

[記事更新日]

Share on Facebook
Pocket

クレジットカードセキュリティの基礎と「PCI DSS」について

クレジットカードセキュリティの基礎と「PCI DSS」について

「クレジットカードのセキュリティ」という場合、具体的にどのような情報を守る必要があるのでしょうか。そうしたクレジットカード情報を取り扱う際に準拠することが求められる「PCI DSS」とはどのようなものなのかと合わせてお伝えします。

守るべきクレジットカード情報とは?

クレジットカード情報は、大きく「カード会員データ」と「機密認証データ」の2種類に分けられます。

・カード会員データ
クレジットカードの表面に記載されている16桁のカード番号、有効期限、名義のことを言います。

・機密認証データ(センシティブ認証データ)
クレジットカード裏面の磁気ストライプ情報とセキュリティコード、PIN/PINブロックのことを言います。

カード会員データは、加盟店側では保持しないことが望ましいとされ、「PCI DSS」に準拠して取り扱うことが求められます。一方、機密認証データについては加盟店で保存することが禁止されています。

国際セキュリティ基準「PCI DSS」とは

クレジットカードセキュリティの基礎と「PCI DSS」について

PCI DSSとは、Payment Card Industry Data Security Standardsを略したものです。日本語に訳すと「クレジットカード業界のセキュリティ基準」という意味になります。

これはクレジットカード決済において会員データを安全に取り扱うことを目的として定められたもので、主要な国際クレジットカードブランドである5社(VISA、MasterCard、JCB、Diners Club、American Express)が設立した米国PCIセキュリティ基準審議会(PCI SSC=Payment Card Industry Security Standards Council)によって運用されています。

PCI DSSが定められる以前は、各カード会社が独自に安全基準を定め、加盟店にはそれぞれのブランドの定める基準に対応することが求められていました。複数のカードを取り扱う加盟店は、複数のカード会社の基準を満たす必要があり、コストや労力の面で負担が大きかったと言えます。その一方で、従来の各カード会社による安全基準では対応しきれないデータ流出など、クレジットカード被害は国内外問わず増加している状況がありました。

そうした状況に対応すべく、「世界的に統一された強固なセキュリティ基準」として2004年に登場したのがPCI DSSです。

PCI DSSの認定を取得するには

PCI DSS準拠は、「訪問審査」「サイトスキャン」「自己問診」などといった方法の組み合わせによって認定されます。いずれの認定方法が用いられるかは、カード情報の取り扱い方法や規模により異なります。

PCI DSS準拠認定を取得することにより、信用の向上およびリスク軽減につながります。また、加盟店等がPCI DSSに準拠していた場合、情報流出などによる被害が起きた際に管理責任のあるカード会社に求められる損害の補償の義務が免責されます。

「クレジットカード決済」のサービスTOPページへ

ebookダウンロード
ebookダウンロード
PAGE TOP