PCI DSS(カードセキュリティ)

クレジットカード業界特有のセキュリティ管理体制を実現

PCI DSS(Payment Card Industry Data Security Standards)は、クレジットカードの会員データを安全に取り扱うことを目的として策定されたクレジットカード業界特有のセキュリティ基準です。

クレジットカードの不正使用は世界中で大きな課題となっており、日本国内でも毎年100億円程度の被害が発生しています。これに対して、国際的なクレジットカード会社5社(VISA、MasterCard、JCB、AmericanExpress、Discover)が協議団体を設立し、統一したクレジットカード情報保護のための基準であるPCI DSSを策定し、運営・管理を行っています。

※Payment Card(ペイメントカード)とは、クレジットカードやデビットカード、プリペイドカードなどの総称です。

  • PCI DSS

PCI DSS、ISO/IEC 27001、Pマークの違い

ISO/IEC 27001はクレジットカード情報を含む組織が保有する情報全般のマネジメントシステムです。一方、プライバシーマークは個人情報保護、PCI DSSはクレジットカード情報保護に特化しています。

PCI DSS、ISO/IEC 27001、Pマークの違い
出典:日本カード情報セキュリティ協議会ホームページ

対象となる組織

カード情報を「保存、処理、伝送」する組織であるカード加盟店、銀行、決済代行など行うサービス・プロバイダーが、年間のカード取引量に応じて、PCI DSSに準拠する必要があります。なお、カード取引量がPCI DSS準拠の基準に満たさなくても、各カード会社が制定しているセキュリティ基準には準拠する必要があります。

  • 金融業:クレジットカード会社、クレジットカード発行金融機関
  • 流通業: 大手百貨店、スーパー、量販店、鉄道、航空会社
  • 通信/メディア/公共:携帯電話会社、通信会社、ユーティリティ、新聞
  • 製造業:石油業界 など

期待できる効果

  • 企業価値(信用、ブランド)の向上
  • 不正アクセスから顧客のサイトを保護し、サイトの改ざんや悪用、情報盗用などのリスクを低減
  • VISAでは、加盟店等からカードに関する情報が流出して不正使用された場合、その加盟店がPCI DSSに準拠していれば、その管理責任のあるカード会社(アクワイアラ)に求められる損害の補償の義務が免除