クレジットカード決済を導入する企業やECサイト運営者にとって、
カード情報をいかに安全に守るか は最重要課題のひとつです。
その中核となるのが PCI-DSS(ピーシーアイ・ディー・エス・エス)。
本記事では、日本の決済実務に携わってきた専門家の立場から、PCI-DSSの基本、目的、対象、そして事業者が押さえておくべきポイントを初心者にもわかりやすく解説します。
PCI-DSSとは
PCI-DSS(Payment Card Industry Data Security Standard) とは、
VISA、Mastercard、JCB、American Express、Diners Club といった
主要クレジットカード国際ブランドが共同で策定した、カード情報保護のための国際セキュリティ基準 です。
クレジットカード番号や有効期限、セキュリティコードなどの
カード会員データを安全に取り扱うこと を目的としています。
なぜPCI-DSSが必要なのか
近年、クレジットカード情報の漏えいや不正利用は世界的に問題となっています。
PCI-DSSは、こうしたリスクを最小限に抑えるために策定されました。
PCI-DSSの主な目的
-
カード情報漏えいの防止
-
不正利用リスクの低減
-
クレジットカード決済全体の信頼性向上
カード決済を扱う以上、規模の大小を問わず無関係ではいられない基準です。
PCI-DSSの対象となる事業者
PCI-DSSは、以下のような カード情報を扱うすべての事業者 が対象です。
-
ECサイト運営者
-
実店舗(POS・決済端末を利用する店舗)
-
決済代行会社
-
カード情報を保存・処理・送信するシステムを持つ企業
「小規模店舗だから不要」ということはありません。
PCI-DSSの主な要件(概要)
PCI-DSSには複数の要件がありますが、代表的なものは以下の通りです。
ネットワークの保護
-
ファイアウォールの適切な設定
-
不正アクセスの防止
カード情報の保護
-
カード番号の暗号化
-
不要なカード情報の非保持化
脆弱性管理
-
ウイルス対策ソフトの導入
-
システムの定期的な更新
アクセス制御と監視
-
権限管理の徹底
-
ログの取得と監視
日本の事業者が取るべき現実的な対応
カード情報を「保持しない」設計が重要
日本では、
-
トークン決済
-
決済代行会社の利用
により、事業者自身がカード情報を扱わない
「カード情報非通過型」 の構成が主流です。
これにより、PCI-DSSの対応負担を大きく軽減できます。
決済代行会社との連携
多くの日本のEC事業者は、PCI-DSSに準拠した
決済代行会社のサービスを利用しています。
その場合でも、
-
自社の責任範囲
-
利用規約・運用ルール
を正しく理解することが重要です。
PCI-DSSに違反するとどうなる?
PCI-DSSに準拠していない場合、以下のリスクがあります。
-
カードブランドからの是正要求
-
罰金や違約金の発生
-
クレジットカード決済の停止
-
企業イメージの低下
セキュリティ対策はコストではなく、信頼への投資 と言えます。
まとめ:PCI-DSSはカード決済を行うすべての事業者の基盤
PCI-DSSは、
-
クレジットカード情報を守るための国際基準
-
規模を問わずすべての事業者が対象
-
非通過型決済の活用で負担軽減が可能
という特徴を持っています。
こちらもご覧ください
