非営利のグローバルなオープンフォーラムであるPCI SSC(PCIセキュリティスタンダードカウンシル)は、国際クレジットカード産業向けのデータセキュリティ基準であるPCI DSSを策定し、ペイメントカードの会員データ・取引情報の保護や、そのための人材育成に努めている。PCI DSSは2022年3月に最新のv4.0がリリースされており、2024年4月からはv4.0への準拠が必須となるため、関係団体は対応を急がなければならない。
3月5日~8日に開催された「TECH+フォーラム - セキュリティ 2024 Mar. 『推奨』と事例に学ぶ事前対策」にPCI SSC アソシエイトダイレクター日本の井原亮二氏が登壇。PCI DSS v4.0で定められている主要な要件の内容を紹介した。
「TECH+フォーラム - セキュリティ 2024 Mar. 『推奨』と事例に学ぶ事前対策」その他の講演レポートはこちら
ペイメントカードのセキュリティ基準であるPCI DSS
井原氏はPCI DSSについて、国際カードブランド5社が知見を持ち寄ってつくったクレジットカードのセキュリティ基準で、「これをクリアすれば全てのブランドのカードを受け入れられるもの」だと紹介した。準拠すれば情報漏れが絶対に発生しないと保証されるものではないことには注意が必要だが、カード情報を扱う事業体がその責任として取り組むべき基本要件がここに集められている。適用されるのは、カード情報を保存・処理・伝送する事業体、およびカード情報の環境(CDE)に影響を及ぼす可能性のある事業体である。
PCI DSSの対象は、アカウントデータ全体だ。アカウントデータには、カード券面上に表示されているカード会員データ(CHD)と、主に認証に使われる機微認証データ(SAD)の2種類がある。CHDにはカード番号のほか、会員氏名、有効期限、サービスコードが含まれている。一方、SADにはチップまたは磁気ストライプ上のフルトラックデータ、カード検証コード、PIN/PINブロックなどが含まれていて、これが流出すると本人になりますことができるため、一段高いセキュリティが求められている。