オフィス若松Top>PCI DSS

PCI DSS

PCI DSS (Payment Card Industry Data Security Standard)とは、クレジットカードのセキュリティ国際基準です。日本は先進国の中でクレジットカードの安全対策がかなり遅れており、国際犯罪組織の格好のターゲットになっている状態です。
  そのため2020年の東京五輪までにこれを改善しようと、国の指導によりすべての加盟店などカード情報取扱い事業者は、カード情報を保持しないか、保持するのであればPCI DSS準拠が求められています。

日本にはPCI DSSの専門団体として、日本カード情報セキュリティ協議会(JCDSC)があり、私は2009年の設立時からこの協議会の事務局を担当しています。

すべてのカード事業者に法的義務
改正された割賦販売法が、2018年6月1日に施行されました。これにより、カード会社だけでなく加盟店を含めた、すべてのクレジットカード取り扱い事業者は、カード情報の安全管理義務を負います。

  具体的なプログラムとして経済産業省では、2015年からカード取扱い業務を行う主な事業者を招集して、「クレジット取引セキュリティ対策協議会」を立ち上げました。
  そして2016年2月に「実行計画2016」が、この協議会の決議を踏まえて公表されました。その後2017年3月には「実行計画2017」にバージョンアップ、さらに「実行計画2018」が2018年3月に公表されました。

  こうした「実行計画」は、クレジットカードを取り扱う主要な業界が合意して策定したものであり、さらに改正割賦販売法の施行をもって、この実行計画に定めた対応ができていない事業者は、法令違反状態になるといえます。
■経済産業省の「実行計画2018」リリースサイトへ

・「実行計画2016」を承認した、対策協議会の総会 (2016.2.23)

カード情報非保持かPCI DSS準拠か
PCI DSSは、国際的にはカード情報を取り扱うすべての事業者が順守するものですが、日本の「実行計画」では緩和しています。加盟店の場合はカード情報を非保持にするのであれば、PCI DSS準拠までは求めないことにして、加盟店が取り組みやすいルールにしています。

  いっぽうカード会社やPSP(決済代行会社)の場合は、カード情報を持たないのでは仕事になりませんから、必ずPCI DSSに準拠しなければなりません。
  PCI DSSにはどのようにすれば準拠できるか、その知識や方策を提供するための協力団体として、JCDSCが実行計画の中に位置づけられました。

  JCDSCにはPCI DSSの認証審査機関(QSA)や各種の脆弱性検査会社、セキュリティベンダーなどが多く参加しており、実行計画の要請に応えて、PCI DSSセミナーの開催や準拠への参考資料の提供、個別の相談への対応などの活動を行っています。
■JCDSCのサイトへ

・JCDSC主催のPCI DSSフォーラム。基調講演は経済産業省の商取引監督課の担当官
(会場は有楽町の東京国際フォーラム2017.6.22)



■Top Page
Copyright (c) Office Wakamatsu