PCI DSSとは何か?

みなさんこんにちは。マーケティンググループの村田(洋)です。
本日はこれまでエクシードのプライベートセミナーで講演していた「PCI DSS入門」(講演資料)を公開します。

「PCI DSS」とは「Payment Card Industry Data Security Standard」の略で、機微な情報であるクレジットカード情報を適切に保護するための国際標準規格です。
「PCI DSS」ではクレジットカード情報に関わって事業を行うに当たっての組織体制・建屋設備・情報システム・運用管理におけるクレジットカード情報保護のための遵守要件が定義されています。

日本におけるPCI DSSの略歴ですが、今から10年ほど前から大手の金融機関・クレジットカード会社・決済代行事業者(クレジットカード情報やクレジット決済に最も近い事業者)から認証取得が広がり、その関連会社や中堅の金融機関・クレジットカード会社・決済代行事業者へと広がりを見せていきました。
しかし、法令的に強制力のある準拠規格ではないため近年CSR/コンプライアンス観点で投資余力のある大手~中堅事業者層では認証取得が進んだものの、投資余力の小さい小規模事業者や新興企業層においては緩やかな広がりにとどまっていました。

転機になったのは10年ほど前に改正施行された観光立国基本法に基づく政策(外国人訪日客の拡大)の進展と2020年東京オリンピックの開催です。
観光立国政策の推進過程における外国人訪日客の声には「飲食店で英語(母国語)のメニューがない」「公衆無線LANが少ない」「ホテルが少ない」などと並んで、「都市部以外でクレジットカードが利用できない」という声があり、それらの改善・拡充が求められていました。
そして2020年東京オリンピックの開催が決定し、観光立国政策の目玉イベントに据えられる中で、より安全なクレジットカード決済環境の整備を図るべくクレジットカード情報管理の強化・安全対策を目的とした割賦販売法改正(2016年)および「クレジットカード取引におけるセキュリティ対策強化に向けた実行計画2017」(2017年、以下「実行計画2017」と略します。)の公開が実施されました。(もちろん上記だけでなく国内でのEC/クレジットカード決済取引拡大に伴う情報漏洩や悪用といった問題の解決・改善も背景にあります。)

これによりクレジットカード会社の加盟店契約企業・カード発行会社および非対面加盟店(EC事業者・電話/FAX通販事業者など)では2018年3月末まで、対面加盟店(実店舗でクレジットカード決済を提供する事業者)では2020年3月末までのPCI DSS準拠ないしはクレジットカード情報の非保持化が定められました。

「実行計画2017」の公開を受け、PCI DSS準拠サービスを提供していたエクシードでも例年以上にPCI DSS準拠検討をはじめられたお客様からのご相談を頂く機会が増えました。
そしてお客様と対話する中で以下のことに気づきました。

  1.  PCI DSS検討されるお客様が全てPCI DSSや情報システムに詳しい人々ではない
  2.  「実行計画2017」を考えるにはPCI DSSよりも視座を広くした検討が必要である

エクシードはシステムインテグレータとしてPCI DSS準拠している立場のため、PCI SSC(※1)が発行する「Payment Card Industry(PCI)データセキュリティ基準要件とセキュリティ評価手順」の理解を前提にシステム及びその運用の観点からヒアリングを進めていたのですが、ご相談頂くお客様は「実行計画2017」を受けて初めて「Payment Card Industry(PCI)データセキュリティ基準 要件とセキュリティ評価手順」を読んで、何をどこから検討すればいいのかという検討の初歩で悩まれているケースが多く、お恥ずかしながらベンダーとお客様の前提認識のギャップとしての「1.」に気づきました。

また「実行計画2017」では電子データのクレジットカード情報だけでなく、紙媒体や音声の情報についても取り扱っているため、EC/電子データ取引だけでなく、電話・FAX/音声・紙媒体取引の就業環境やワークフローも含めた広範な視座での検討が必要なこと=「2.」の必要性に気づきました。

PCI DSS準拠か非保持化か。

限られた対応検討期間の中で少しでも多くのお客様に具体的検討に入っていただけるようまとめ、講演してきた内容が「PCI DSS入門」です。これまではエクシードのプライベートセミナーを通じて発信してきましたが、クレジットカード会社の加盟店契約企業・カード発行会社および非対面加盟店企業の対応期限が半年後に迫る中、少しでも多くの検討中企業の方々の参考になればと思い、公開させて頂くことにしました。

 

 

本書が安全なクレジットカード利用社会実現に向けた各企業様の「実行計画2017」対応に僅かながらにでも一助となれれば幸いです。

 

(※1)PCI SSC
“Payment Card Industry Security Standards Council”の略。2006年に発足した
全世界でのPCI DSSの管理・更新・改定および普及・啓蒙をはかる中核団体。