情報セキュリティマネジメント試験 科目A 関連法規キーワード解説
PCI DSS(Payment Card Industry Data Security Standard)とは、クレジットカード情報を安全に取り扱うために定められた、国際的なセキュリティ基準です。国際カードブランド5社が共同で策定しました。
カード情報を保存・処理・伝送するすべての事業者(加盟店・決済代行など)が対象で、カード情報の漏えいを防ぐための具体的な技術的・運用的要件を定めています。
PCI DSSは6つの目標と、その下の12の要件で構成されます。主な内容は次のとおりです。
| 目標 | 要件の例 |
|---|---|
| 安全なネットワークの構築・維持 | ファイアウォールの設置、初期設定のパスワード変更。 |
| カード会員データの保護 | 保存データの保護、伝送時の暗号化。 |
| 脆弱性管理 | ウイルス対策、安全なシステムの維持。 |
| アクセス制御 | 必要な人のみアクセス、固有IDの付与、物理的アクセス制限。 |
| ネットワークの監視・テスト | アクセスの監視・ログ記録、定期的なテスト。 |
| 情報セキュリティポリシーの維持 | 方針の策定・運用。 |
ECサイトからのクレジットカード情報の大量流出事件が相次いだことを背景に、カード情報を扱う事業者へのPCI DSS準拠の要請が強まっています。SQLインジェクションなどでカード情報が漏えいする事例では、PCI DSSの要件不備が問題となります。