PCI Data Security Standard
概要
PCI (Payment Card Industry) Data Security Standard とは
情報漏えいに伴うコストは、直接的にも間接的にも、非常に甚大なものになる可能性があります。こうしたコストには、法律上の罰金やカード会社から課せられる金銭的ペナルティ、カードの再発行や交換に必要な費用、訴訟費用、各種の補償費用や修復費用などがあります。しかし、一番危険なのは、企業の社会的信用の失墜や、ビジネス・チャンスの喪失によるリスクです。2005年6月30日に発効した Payment Card Industry Data Security Standard (PCI 規格)は、それまで MasterCard や Visa といった信販会社各社がカード・システムのセキュリティを統制するために導入していた独自の規格を一本化したもので、世界のカード業界で採用されています。2006年9月にはバージョン1.1が発布され、PCI 1.0 の条項の明確化と細かな改訂が行われました。
PCI 規格の対象になる事業者
PCI 規格は、当該ペイメント・カードに加盟し、カード会員情報を保管、処理、送信するすべての銀行、加盟店、サービス・プロバイダ(第三者の処理業者やデータ管理業者など)に適用されます。
加盟店銀行(加盟店の決済処理を行う銀行)では、自社だけではなく、契約している加盟店およびサービス・プロバイダについても、PCI 規格への準拠を保証することが求められる場合があります。この場合、加盟店銀行は、電子商取引での年間取引件数が2万件を超えるすべての加盟店について、PCI 規格に準拠していることを証明する必要があります。
PCI 規格の影響を受けるシステム
PCI 規格の要件は、すべての「システム・コンポーネント」に適用されます。「システム・コンポーネント」とは、カード会員情報を扱う環境に含まれる(あるいはその環境に接続される)あらゆるネットワーク・コンポーネント、サーバ、アプリケーションのことを言います。「ネットワーク・コンポーネント」とは、ファイアウォール、ネットワーク・アプライアンス、ルータ、スイッチ、無線アクセス・ポイントと、その他のネットワーク・コンポーネントおよびセキュリティ・コンポーネントのことを言います。「サーバ」には、認証サーバ、データベース・サーバ、DNS(Domain Name Service)サーバ、メール・サーバ、NTP(Network Time Protocol)サーバ、プロキシ・サーバ、Web サーバが含まれます(ただし、これらに限定されません)。「アプリケーション」には、既成のアプリケーションとカスタム・アプリケーション、内部アプリケーションと外部(Web)アプリケーションのすべてが含まれます。したがって、規模を問わずすべての事業者が影響を受けることになります。また各要件は、電話、Web、郵便、店舗のすべての決済チャネルに適用されます。
PCI に関するその他の情報:
