用語集 › 🔒 セキュリティ › PCI DSS
【ぴーしーあいでぃーえすえす】

PCI DSS とは?

💡 カード情報を守る「支払い業界の掟」
📌 このページのポイント
PCI DSS — カード情報セキュリティの要件 クレジットカード情報 6つの目標と12の要件 1. ネットワーク構築・管理 FW設置・デフォルト値変更 要件1〜2 2. カード情報の保護 保存データ・通信の暗号化 要件3〜4 3. 脆弱性管理 ウイルス対策・安全な開発 要件5〜6 4. アクセス制御 必要最小限の権限付与 要件7〜9 5. 監視・テスト ネットワーク監視・定期テスト 要件10〜11 6. ポリシー維持 情報セキュリティポリシー 要件12 対象: カード情報を扱う全ての事業者(EC、決済代行、店舗など) 準拠レベルは年間取引件数に応じて4段階に分類される PCI DSS = Payment Card Industry Data Security Standard
PCI DSS セキュリティ要件の構造イメージ
ひよこ ひよこ

どんな会社が対象なの?

ペンギン先生 ペンギン先生

クレジットカード情報を保存・処理・伝送するすべての企業だよ。ECサイト、決済代行会社、POS端末メーカー、ホテル、航空会社など。規模の大小を問わず、カード番号を1件でも扱うなら対象になるんだ

ひよこ ひよこ

12の要件って何?

ペンギン先生 ペンギン先生

大きく6つのカテゴリに分かれているよ。ファイアウォールの設置、デフォルトパスワードの変更、保存データの暗号化、通信の暗号化、ウイルス対策、安全なアプリ開発、アクセス制御、ユーザー認証、物理的セキュリティネットワーク監視セキュリティテストセキュリティポリシーの策定。包括的だね

ひよこ ひよこ

準拠しないとどうなるの?

ペンギン先生 ペンギン先生

カード情報の漏洩が発生した場合、PCI DSS非準拠だと莫大な罰金(数百万〜数千万ドル)が課される可能性がある。加えてカード決済の取り扱い停止や、ブランドからの契約解除もありえる。事業継続に直結するリスクだよ

ひよこ ひよこ

小さなECサイトでも必要?

ペンギン先生 ペンギン先生

最も簡単な方法は「自社でカード情報を一切扱わない」こと。Stripe、PayJP、GMOペイメントゲートウェイなどの決済代行サービスを使えば、カード情報は代行会社側で処理されるから、ECサイト側のPCI DSS準拠の負担は大幅に軽減されるよ

ペンギン
まとめ:ざっくりこれだけ覚えればOK!
「PCI DSS」って出てきたら「クレジットカード情報を守るためのセキュリティ基準」と思えればだいたいOK!
📖 おまけ:英語の意味
「Payment Card Industry Data Security Standard」 = ペイメントカード業界データセキュリティ基準
💬 カード情報の漏洩事件が相次いだことから、業界全体で統一基準を作ったんだよ
🔗 あわせて読みたい
← 用語集にもどる