MENU
  1. ホーム
  2. ビジネス用語
  3. PCI-DSSって何?わかりやすく解説

PCI-DSSって何?わかりやすく解説

ビジネス用語

クレジットカードでネットショッピングするとき、「カード番号とか個人情報って、ちゃんと守られてるの?」って不安になったことない?実は、カード情報を扱う会社には「PCI-DSS」という厳しい国際ルールが課されていて、そのおかげで私たちは比較的安心してカード払いができているんだ。名前だけ聞くと難しそうだけど、仕組みを知れば「あー、だから情報漏えい事故ってそんなに多くないんだ」とスッキリするはず。この記事を読めば、PCI-DSSとは何か・なぜ重要か・どんなルールなのかが全部わかるようになるよ。

PCI-DSSって単語、ニュースで見たんだけど全然意味わからなかった。何の略なの?

Payment Card Industry Data Security Standard」の略だよ。日本語にすると「クレジットカード業界のデータセキュリティ基準」って意味。つまり、カード情報を安全に扱うための国際的なルールブックということだね。VisaやMastercardなど、世界の大手カードブランドが共同で作ったものなんだ。
どんな会社がそのルールを守らなきゃいけないの?カード会社だけじゃないの?

カード会社だけじゃないんだよ。カード情報を「受け取る・処理する・保管する・送信する」のどれかをしている会社はすべて対象なんだ。コンビニ、ネットショップ、ホテル、そして決済システムを作るIT会社まで、カードと関わりがあるなら業種を問わず対象になるよ。
守らないと何か罰則があるの?法律違反になるとか?

法律じゃないから逮捕はされないけど、カードブランドから高額の罰金を課されたり、最悪の場合はカード決済そのものができなくなることがあるんだ。お店にとって「カードが使えない」はかなりの死活問題だよね。だから企業は必死でルールを守っているんだよ。
じゃあ、私たち消費者には直接関係ない話なの?

直接ルールを守る義務があるのは企業だけど、企業がPCI-DSSを守ってくれることでカード情報の漏えいリスクがぐっと下がるんだ。つまり私たちが安心してカード払いできるのも、このルールのおかげといえるよ。消費者にとっても十分関係がある話なんだ。
📝 3行でまとめると
  1. PCI-DSSは、クレジットカード情報を守るために大手カードブランドが共同で作った 国際セキュリティ基準 だよ。
  2. カード情報を扱うすべての企業が対象で、定められた 12の要件 を満たすことが求められているんだ。
  3. 違反すると 罰金やカード決済停止 のリスクがあるから、企業にとっては避けられない重要ルールなんだよ。
目次

もうちょっと詳しく

PCI-DSSは2004年に、Visa・Mastercard・American Express・Discover・JCBという世界の5大カードブランドが集まって作ったものだよ。それまでは各社がバラバラにセキュリティ基準を持っていたけど、「世界共通のルールに統一しよう」という話になって生まれたのがこのPCI-DSSなんだ。現在はPCI SSC(PCI Security Standards Council)、つまり「PCI安全基準協議会」という専門機関が管理・更新していて、最新バージョンはv4.0(2022年リリース)。カード詐欺の手口が年々進化しているのに合わせて、ルールもアップデートされているんだ。対象企業は年間のカード取引件数に応じて「レベル1〜4」に分類され、レベルによって審査の厳しさも変わってくる仕組みになっているよ。

💡 ポイント
PCI-DSSは法律ではなくカードブランドとの契約ルール。でも守らないと実質的に大ダメージ!

⚠️ よくある勘違い

❌ 「PCI-DSSは日本の法律だから、違反すると警察に逮捕される」
→ PCI-DSSは法律ではなくカードブランドが定めた業界基準。違反しても刑事罰はないよ。
⭕ 「PCI-DSSはカードブランドとの契約上のルール。違反すると罰金や決済停止になる」
→ 法的強制力はないけど、契約違反として高額の罰金やカード決済が使えなくなるという実質的なペナルティがある。お店にとっては法律違反と同じくらい怖いんだよ。
なるほど〜、あーそういうことか!

[toc]

PCI-DSSってそもそもどんなもの?

PCI-DSSを一言で言うなら、「クレジットカード情報を守るための国際的なセキュリティのルールブック」だよ。正式名称は「Payment Card Industry Data Security Standard(ペイメントカード業界データセキュリティ基準)」。ちょっと長いけど、頭文字をとって「PCI-DSS(ピーシーアイ・ディーエスエス)」と呼ばれているんだ。

たとえるなら、食品を扱うレストランには「食品衛生法」というルールがあって、それを守ることでお客さんに安全な料理を出せるよね。PCI-DSSはそれのカード情報版だと思うといいよ。カード情報を扱うお店や会社が守るべき「衛生管理のルール」みたいなものなんだ。

誰が作ったの?

2004年に、世界の5大カードブランドである Visa・Mastercard・American Express・Discover・JCB が共同で作ったものだよ。それまでは各社がそれぞれ独自のセキュリティ基準を持っていたんだけど、「バラバラだと管理しにくいし、守る側の企業も大変だよね」という理由から統一されたんだ。現在は PCI SSC(PCI Security Standards Council) という専門機関が管理していて、最新バージョンはv4.0(2022年リリース)。サイバー攻撃の手口が進化するたびにルールも更新されているから、企業は常に最新バージョンへの対応が求められているんだよ。

法律とどう違うの?

PCI-DSSは法律ではないよ。日本でいう個人情報保護法とは別物なんだ。あくまでカードブランドが定めた「業界のルール」で、カード決済を取り扱うための契約条件として組み込まれているものだよ。だから違反しても警察に逮捕されるわけじゃないけど、カードブランドから 罰金 を課されたり、最悪 カード決済の利用資格を失う ことになるんだ。

なぜPCI-DSSは作られたの?背景を知ろう

2000年代に入った頃、インターネットショッピングが急速に普及し始めたよね。それと同時に、クレジットカード情報を狙ったサイバー犯罪も爆発的に増えていったんだ。ハッカーが企業のシステムに侵入してカード番号をまるごと盗み出す「情報漏えい事件」が世界中で頻発していたんだよ。

統一ルールがなかった時代の混乱

当時はVisaはVisaの基準、MastercardはMastercardの基準というふうに、カードブランドごとにバラバラのセキュリティ要件があったんだ。お店側からしたら「どのルールを守ればいいの?」と混乱するし、管理コストも膨大になっていたよ。そこで5大カードブランドが「よし、みんなで共通ルールを作ろう」と合意して誕生したのがPCI-DSSなんだよ。

実際に起きた大規模漏えい事件

PCI-DSS誕生のきっかけのひとつに、アメリカで起きた大規模な情報漏えい事件がある。ショッピングモールやスーパーの決済システムがハッキングされ、数千万件以上のカード情報が盗まれる事件が相次いだんだ。被害者が全員不正使用の被害を受けたわけじゃないけど、銀行やカード会社が被害補填で支払った金額は膨大なものだったよ。「もう業界全体でしっかりセキュリティを底上げしなきゃダメだ」という反省からPCI-DSSが整備・強化されていったんだ。

PCI-DSSの「12の要件」って何?

PCI-DSSの核心は「12の要件(Requirements)」だよ。これを6つのグループに分けて整理すると、こんなイメージになるんだ。

グループ1:安全なネットワークを作る

  • 要件1:ファイアウォール(つまり、外からの不正アクセスを防ぐ壁のこと)を設置・維持する
  • 要件2:システムのパスワードをメーカー出荷時のデフォルトのまま使わない

工場から出荷されたルーターのパスワードが「admin」のままになってるのを放置するのはアウト、ということだよ。鍵を交換せずに前の住人のカギを使い続けるようなものだからね。

グループ2:カード情報を守る

  • 要件3:保存するカード情報は暗号化する(つまり、データを特殊な方法で読めない形に変換して保管するということ)
  • 要件4:ネット上でカード情報を送信するときも暗号化する

カード番号を「平文」のまま、つまり番号をそのままの形で保存・送信するのは絶対NG。手紙の内容を封筒なしで丸見えのまま郵便ポストに入れるようなものだよ。

グループ3:脆弱性(よわいところ)を管理する

  • 要件5:マルウェア(つまり、悪意を持ったウイルスなどのソフトウェアのこと)からシステムを守る
  • 要件6:ソフトウェアのセキュリティを維持し、開発ルールを守る

グループ4:アクセスを制限する

  • 要件7:カード情報へのアクセスは「業務上必要な人だけ」に限定する
  • 要件8:システムへのアクセスには必ず個人を特定できるIDを使う
  • 要件9:カード情報が保管されている場所への物理的な立ち入りも制限する

グループ5:監視とテストを続ける

  • 要件10:ネットワークへのアクセスをすべて記録・監視する(ログを取るということ)
  • 要件11:セキュリティシステムの弱点を定期的にテストする

グループ6:情報セキュリティのポリシーを維持する

  • 要件12:全社員向けの情報セキュリティポリシー(つまり、情報を守るための会社のルール集のこと)を作って維持する

この12の要件、全部一気に覚えなくていいよ。「技術的な対策」と「ルール・体制の整備」の両方がセットで求められているんだな、とわかれば十分だよ。

誰がどのレベルで対応しなきゃいけないの?

PCI-DSSは対象企業を「年間のカード取引件数」によって4つのレベルに分類しているよ。レベルが高いほど大規模な取引をしている企業で、審査も厳しくなっていくんだ。

レベル1〜4の違い

  • レベル1:年間600万件以上の取引がある企業。大手百貨店やAmazonみたいなECサイトがここに入るよ。第三者機関による現地審査(QSAによる訪問審査)が必要なんだ。
  • レベル2:年間100万〜600万件。中規模のネットショップや流通チェーンなど。自己問診票(SAQ)と四半期ごとのネットスキャンが必要だよ。
  • レベル3:年間2万〜100万件(Eコマース限定)。小規模なオンラインショップが対象だよ。
  • レベル4:年間2万件未満。個人経営の小さなネットショップなどがここに当たるよ。

準拠の確認方法

企業が本当にPCI-DSSに準拠しているかを確認する方法は主に3つあるよ。

  • QSA(認定セキュリティ評価機関)による現地審査:専門家が実際に会社に来てチェックする最も厳しい方法
  • SAQ(自己問診票):決められた質問に企業が自分で回答する簡易版。つまり、チェックリストに答えることで「守れてるかどうか」を確認するということ
  • ASV(認定スキャンベンダー)によるネットスキャン:外部からシステムの弱点を自動でスキャンして検出する

PCI-DSSに違反したらどうなる?リスクを知ろう

「どうせバレないだろう」と思って対応を怠ると、想像以上に大きなリスクが待っているんだよ。具体的に何が起きるか見てみようか。

罰金・ペナルティ

PCI-DSSに準拠していない状態が続いたり、違反が発覚したりすると、カードブランドから 月額数万〜数百万円の罰金 が課されることがあるんだ。違反の規模や期間によっては累積で数億円になるケースもあるよ。さらにアクワイアラー(つまり、加盟店のカード決済を仲介する銀行や決済代行会社のこと)から追加の違約金を請求されることもある。

カード決済の利用停止

最悪の場合、カードブランドから「うちのカードを使わせない」という決定が下される可能性があるんだ。VisaやMastercardが使えなくなるお店を想像してほしい。現金だけの取引になってしまったら売上が激減するよね。中小企業では経営危機に直結するレベルの話だよ。

情報漏えい事故が起きた場合のダメージ

PCI-DSSを守っていなくてセキュリティが甘い状態でカード情報が漏えいすると、違反ペナルティだけじゃなく被害者からの 損害賠償請求 も飛んでくる可能性があるんだ。加えて、情報漏えいのニュースが報道されれば 信用失墜 によって顧客が一気に離れていくよね。お金の問題だけじゃなく、企業の存続にかかわる大問題になるんだよ。

逆に言えば、準拠することで得られるメリットもある

PCI-DSSへの準拠は「義務だからやる」だけじゃなくて、 セキュリティレベルが上がる というメリットもあるんだ。「PCI-DSS準拠済み」と公表することで、お客さんからの信頼を得やすくなるし、企業のブランドイメージにもプラスになるよ。セキュリティ対策がしっかりしている会社は、最終的には顧客から選ばれやすい会社になるんだよね。

ビジネス用語
よかったらシェアしてね!
  • URLをコピーしました!
  • URLをコピーしました!

この記事を書いた人

案内人のアバター 案内人

大人になってから「これ知らなかった…」と恥ずかしい思いをした経験から、このサイトを作りました。お金・仕事・社会のしくみって、学校で教えてくれないのに知らないと損することだらけ。むずかしい言葉を「あーそういうことか!」って思えるまでかみ砕いて説明するのが得意です。主に経済・法律・税金・ライフイベント周りの用語を毎日更新中。

関連記事

目次