PCIDSSとは？取得のための費用、要件についてわかりやすくご紹介いたします。

ECサイトを利用する際に利用者は自身のカード情報の扱いについて不安を覚えていらっしゃいます。利用者を安心させるために必要な情報はPCIDSS準拠であるか、カード情報の不保持化の導入は済んでいるのかということです。今回はPCIDSSと不保持化についてご紹介いたします。

PCIDSSとは？わかりやすくご紹介

PCIDSS（Payment Card Industry Data Security Standard）とはクレジットカードのセキュリティ基準です。以前はクレジットカード会社各社に独自のセキュリティ基準があり、各社それぞれの要件を満たさなくては複数のクレジットカードを取り扱うことができませんでした。そのため加盟店にとってコストが大きくなっていました。
そこで、国際カードブランド5社(American Express、Discover、JCB、MasterCard、VISA)が加盟店のリスクとコストに対応するために作成した世界共通のセキュリティ基準がPCIDSSです。
PCIDSSの取得はクレジットカード情報を保持、処理、伝送をする全ての企業に必要とされています。これはECサイトを運営している企業も対象となっています。
しかし、予算や専任者がおらず、PCIDSSに準拠することが難しい場合は「カード情報の非保持化」をする必要があります。カード情報の非保持化については後述いたします。

PCIDSSの取得に掛かる費用・要件一覧

PCIDSSの取得にかかる費用は規模によって変化します。しかし、小規模な加盟店の場合でも初期費用は1000万円以上かかり、PCIDSS準拠で運営を行うためには月額100万円以上必要で、2年に1度更新を行う必要があります

なぜ莫大な費用が掛かるかというと、PCIDSS準拠には厳しい評価項目が定められているためです。PCIDSS準拠の基準には大きく6の目標と12の要件が定められていますが評価項目は約400になります。ここでは6の目標と12の要件についてご紹介いたします。

（参照：pciSecurityStandardsCouncil Payment Card Industry（PCI）データセキュリティ基準要件とセキュリティ評価手順）
上記の6の目標と12の要件を満たすことでPCIDSS準拠であることが認められますが、完全に準拠するには非常にハードルが高い内容となります。

PCIDSS認定の取得方法

PCIDSS認定の取得方法は以下の3つに分けられます。カード情報の取扱い形態や規模によって適切な方法でPCIDSS認定を取得しましょう。

PCIDSS認定の取得方法①訪問審査

PCI国際協議会によって認定された審査機関に訪問してもらい審査を受けることで認定を所得する方法です。
クレジットカード会社のような情報の取扱い規模が大きい事業者に要請されている方法です。

PCIDSS認定の取得方法②サイトスキャン

WEBサイトに侵入された際に、クレジットカード情報が盗まれることがないかを調査し、認証を取得する方法です。
PCI国際協議会に認定されたベンダーのスキャンツールによって1年間に4回以上点検を受けサイトの脆弱性がないことを調査します。認定されたベンターはPCI国際協議会のサイトに掲示されています。
カード情報の取扱いが中規模、かつインターネットに接続している企業に要請されている方法です。

PCIDSS認定の取得方法③自己問診

PCIDSSが要求する評価項目に基づいて作成されたアンケート形式の自己問診表に回答を行う取得方法です。全ての回答に「Yes」が付くことでPCIDSS準拠であることが認定されます。
カード情報取扱いの少ない一般的な加盟店の事業者向けの認定取得方法です。

1つでPCIDSS準拠が認定されるカード情報の取扱い規模や事業形態によって複数実施する必要があります。また、カードブランド5社各社それぞれがレベルを設定しており、カードブランドによって異なる要求事項が設定されています。

PCIDSSとカード情報の非保持化について

PCIDSS準拠には非常に厳格な要求事項が設定されており、また、莫大な費用が掛かります。そのため、「予算が足りない」や「専任者がいない」といった理由でPCIDSS準拠が難しい場合があります。そこで必要な考え方が「カード情報の非保持化」です。
PCIDSSの取得はクレジットカード情報を保持、処理、伝送をする全ての企業に必要とされていますが、カード情報を企業内で保持をしなければ悪意のある第三者によって狙われるリスクが削減できるという考え方に基づいた対策方法だからです。
注意すべき点はPCIDSSと非保持化が同等であると見なせるのはクレジットカード加盟店のみということです。カード発行会社や加盟店契約会社、サービスプロバイダーといった加盟店ではなく、カード情報の保持を前提とした事業者に対してはPCIDSS準拠が求められています。
一般的にECサイト運営でクレジットカードを導入する場合には、予算がある場合や専任者がいる場合を除き「カード情報の非保持化」を選択することが推奨されます。
ShopifyではShopifyペイメントというサービスを決済サービスを導入することができます。

PCIDSSの準拠証明書とPADSSの検証証明書の違い

PCIDSSについて調べていると、PADSSや、準拠証明書と検証証明書のような非常によく似た名前を目にします。それぞれの違いについてご紹介いたします。

PADSS（Payment Application Data Security Standard）

PADSSとは決済アプリケーション向けのセキュリティ基準のことで、POSといったような決済アプリケーションが守るべき基準となっています。PCIDSSはクレジットカード情報を取扱う企業が守るべき基準なので似ていますが全くの別物です。PCIDSS準拠の企業の場合にはPADSS準拠の物を採用するようにしましょう。

PCIDSSの準拠証明書とPADSSの検証証明書

準拠証明書とは加盟店及びサービスプロバイダーがPCIDSS準拠である証明するための書類で、検証証明書とはPADSSの評価の結果を証明するための書類です。名前が非常に似通っていますが、証明する内容は別物なので注意しましょう。

PCIDSSとPCISSCの関係、準拠企業の一覧化について

PCISSC（Payment Card Industry Security Standards Council）とは国際カードブランド5社(American Express、Discover、JCB、MasterCard、VISA)が共同で設立した独立組織の名称です。この組織が作成したセキュリティ基準がPCIDSSとなっています。
PCIDSSは世界基準のセキュリティであるため、PCIDSS準拠していることが利用客に知られれば安心感を与えられ企業価値の上昇に繋がることが考えられます。しかし、5社のうち準拠企業の一覧化をしているのはMasterCardとVISAの2社のみになります。
これはPCIDSS 準拠企業のセキュリティが高いため、PCIDSS に準拠していない企業がクラッカー（悪質なハッカー）に狙われるリスクや、高いセキュリティに挑戦しようとするハッカーが現れる可能性が考えられるため一覧化し公開することが得策ではないと考えられるからです。

まとめ

PCIDSSとは世界的に高いセキュリティ基準ですが、導入にかかる費用やハードルは比例して非常に高くなっています。ECサイトの場合には自社の予算や、規模を分析し、PCIDSSと不保持化のどちらか適切な方法を選択し、導入してください。

関連記事

・ECサイト運営におけるセキュリティ管理の必要要件とは？情報漏洩のリスクからガイドラインまで徹底紹介！
・2021年度のIT導入補助金を徹底解説。IT導入補助金の申請の方法、申請スケジュールなども含めてご紹介します。
・ネットショップ・EC運営代行とは？仕事内容や費用、格安代行会社も含めてご紹介！

ECサイト制作ならアートトレーディング

世界170か国以上のNo.1シェアを誇るグローバルECプラットフォーム「shopify」を導入した自社ECサイト制作をご提案いたします！
当社は、15年以上の実績・100社以上のECサイト構築運用 経験でお客様のお悩みを解決してまいりました。
新規のECサイト制作、既存サイトからの移転・乗り替えだけでなく、運営代行・コンサルティング・在庫連携・物流まで幅広くサポートが可能です。
EC支援といってもお客様の状況はさまざまです。これからECサイトを展開したい、サイトはあるが販売促進のノウハウが欲しい、スタッフが足りなくて人手が欲しい等々…。
現在の状況を分析し、ニーズに合った提案を行い、実践し、ECサイトだけでなくお客様ともども成長していただけるような支援を行います。