PCIDSS_pt1_0510.indd

Transcription

1

2

3

4 弊社では2010 年 3 月に PCI DSS Version 1.2 徹底解説 を発行し 2011 年 9 月には PCI DSS Version 2.0 (2010 年 10 月 ) の公開に合わせた改訂を行なった 本書はこの内容を引き継ぎ 2016 年 4 月に発行された PCI データセキュリティ基準 (PCI DSS)Version 3.2 の要件の詳細を解説したものである 本書の目的は以下の4 点に集約できる 1. ペイメントカード業務とPCIデータセキュリティ基準 (PCI DSS) 制度の理解 2. PCI DSS 準拠に必要となる事前準備項目の理解 3. PCI DSS 要件の詳細理解 4. 代替コントロールの理解 1. は PCI DSSの前提知識となるペイメントカード業務における情報とお金の流れ そしてPCI DSS の制度そのものについて 概略の理解を目的としている 2 点目では 自社で準拠を進める あるいはコンサルタント システムインテグレーター (SIer) セキュリティベンダーの立場として顧客企業をサポートするいずれの立場でも どのような準備が必要なのかをつかむ 3 点目は本書の中心を成す部分で 各要件の詳細な理解を目的とする PCI DSS Ver3.2は米国現地時間の2016 年 4 月 28 日にPCI SSCから発行された ( 日本語版は2017 年 5 月 ) PCI SSCが主催するセミナーは英語圏が中心であり 日本国内での開催頻度は低い PCI SSCのWebサイトでは 準拠を支援するためのいろいろな情報が公開されているが 日本語化されているものは一部にとどまる 日本語の情報が少ないことに加えて 内容の把握が難しいという課題もある 各要件はISO 規格などと比較して具体的に書かれているが それでも解釈には幅があり 自社で準拠を進めるに際しては判断に迷う部分も少なくない 本書では できる限り読者の疑問を残さないことを目的とし より具体的かつ詳細な解説を試みている 4 点目の 代替コントロール は 準拠に際して重要な要素である PCI DSSは非常に具体的な基準であるが 裏を返せば柔軟性がない 例えば データベースに保存したカード会員データを暗号化するという要件に対しては 使用しているメインフレーム上のデータベースに対応したパッケージソフトが存在しない 運用上負荷がかかりすぎて事実上対応が困難である といった課題も出てくる 代替コントロール は こうした場合 要件の 目的 をよく理解した上で その目的を達成できるのであれば 他の方法で対処することも可能とする手法である 代替コントロールとして認められるには どのように策定すればよいか 実例を通して対処方法を学ぶ なお 本書では国内では クレジットカード と記載するのが一般的な表記についても ペイメントカード に統一している 理由は PCI DSSの適用が必要となるのは ペイメントカードにおけるカード会員データおよび機密認証データ が正確な定義となるためである ペイメントカードは現金に代わる決済手段の総称で クレジットカード デビットカード プリペイドカード が含まれる プリペイドカード には特定企業 企業グループ内でのみ利用できるハウスカードもあるが PCI DSSの対象は国際ペイメントブランドのカード番号体系を使用しているものと考えてよい i

5 PCI DSS Version3.2 徹底解説目次 本書の目的 i 目次 ii 国際マネジメントシステム認証機構について vii Part 1 PCI DSS 概要 1 ペイメントカードを取り巻く環境 2 1. ペイメントカード情報漏えい事故の多発 2 2. 国内法の整備 4 3. 接続技術の変化 6 PCI DSSとは? 9 PCI 基準とは? 10 1.PCI PTS 10 2.PCI PA-DSS 10 3.PCI P2PE 11 4.PCI DSS 11 法整備や国による後押し 11 国内の基準との対比 12 個人情報保護法との相関 13 改正割賦販売法との相関 15 ISMS(JIS Q 27001:2014) との相関 16 カード会員データを扱う業務の流れ 19 カード決済を行なう事業者とPCI DSSの適用範囲 20 PCI DSSにおける各プレイヤーの相関 20 PCIセキュリティ基準審議会 (PCI SSC) の役割 22 プレイヤーの責任 1 国際ペイメントブランド 23 プレイヤーの責任 2 アクワイアラ 23 プレイヤーの責任 3 イシュア 24 プレイヤーの責任 4 準拠対象企業 25 プレイヤーの責任 5 認定セキュリティ評価機関 (QSA) 26 プレイヤーの責任 6 認定スキャニングベンダー (ASV) 26 加盟店のレベルと取引件数 27 加盟店のレベル 27 加盟店の検証要件 28 サービスプロバイダのレベル 30 サービスプロバイダの検証要件 31 サービスプロバイダの再検証 32 加盟店 / サービスプロバイダの報告方法 32 ii

6 CONTENTS Part 2 PCI DSS 準拠のための初段階 35 対象となる環境と重要な前提知識 36 1.PCI DSSの適用範囲 36 2.PCI DSS 準拠におけるカード情報の扱い カード会員データの概要 50 保管禁止データ 51 進展する本人認証の技術 52 6つの目標と12 要件 55 PCI DSS Ver3.2の骨子 58 Ver3.2 以降のバージョンアップ サイクル 59 オンサイト監査の概要 60 自己問診の概要 61 SAQ(Self-Assessment Questionnaire)A 61 SAQ(Self-Assessment Questionnaire)A-EP 62 SAQ(Self-Assessment Questionnaire)B 65 SAQ(Self-Assessment Questionnaire)B-IP 66 SAQ(Self-Assessment Questionnaire)C 67 SAQ(Self-Assessment Questionnaire)C-VT 68 SAQ(Self-Assessment Questionnaire)D 加盟店 69 SAQ(Self-Assessment Questionnaire)D サービスプロバイダ 70 SAQ(Self-Assessment Questionnaire)P2PE 70 PCI DSSの重要な関連文書 72 Part 3 要件の詳細解説 (1 2) 75 PCI DSS Ver3.2 の構成と解説の内容 76 要件 1 78 要件 要件 要件 要件 要件 2 90 要件 要件 要件 要件 要件 要件 付属文書 A1 102 iii

7 CONTENTS Part 4 要件の詳細解説 (3 4) 105 カード会員データ保護 106 要件 要件 要件 要件 要件 要件 要件 要件 要件 要件 要件 Part 5 要件の詳細解説 (5 6) 127 脆弱性管理プログラムの維持 128 要件 要件 要件 要件 要件 要件 要件 要件 要件 要件 要件 要件 要件 Part 6 要件の詳細解説 (7 9) 157 強固なアクセス制御手法の導入 158 要件 要件 要件 要件 要件 iv

8 CONTENTS 要件 要件 要件 要件 要件 要件 要件 要件 要件 要件 要件 要件 要件 要件 要件 要件 要件 要件 要件 Part 7 要件の詳細解説 (10 11) 195 ネットワークの定期的な監視およびテスト 196 要件 要件 要件 要件 要件 要件 要件 要件 要件 要件 要件 要件 要件 要件 要件 要件 v

9 CONTENTS Part 8 要件の詳細解説 (12 およびまとめ ) 229 情報セキュリティポリシーの整備 230 要件 要件 要件 要件 要件 要件 要件 要件 要件 要件 要件 まとめ 248 Part 9 代替コントロールの詳細解説と事例 251 代替コントロール 252 代替コントロールの演習 代替コントロールの演習 1( 続き ) 267 代替コントロールの演習 代替コントロールの演習 2( 続き ) 270 今後の動向 274 最後に 276 関連情報 277 関連用語解説集 278 vi

10 情報セキュリティ / ICT 分野に特化した審査 監査 第三者認証サービスを提供する民間機関 情報セキュリティとテクノロジは表裏一体であり 双方を深く理解できないことには 本質に迫る監査は実施できない 情報セキュリティ分野の審査 / 監査に関しては この点を重視して業務にあたっている 2003 年よりISO27001 / ISMSの認証機関として一般財団法人日本情報経済社会推進協会 (JIPDEC) より認定を受け PCI DSSに関しては 2008 年に認定セキュリティ評価機関 (QSA) として PCISSC から承認された QSAとして国内の主要なインターネット決済代行事業者などのオンサイト監査に実績をもっている これまで実績はエクシード ベリトランス GMOペイメントゲートウェイ J-Payment ソフィア総合研究所 ソフトバンク ペイメント サービス デジタルガレージイーコンテクストカンパニー デジタルチェック テレコムクレジット ビリングシステム ペイジェントなどである また2010 年 8 月には ペイメントカードのカード情報漏えい事案に特化したフォレンジック調査機関を株式会社 UBICと合弁で設立し 2011 年 6 月に日本企業として初めてPCISSCから認定フォレンジック機関として承認された 会社名 国際マネジメントシステム認証機構株式会社 業務内容 情報セキュリティに関する審査 / 監査 第三者認証サービスの提供 所在 東京本社 札幌営業所 URL 認定 一般財団法人日本情報経済社会推進協会 ( 以下 JIPDEC) からJIS Q (ISO/IEC27001) の認証機関として認定 (ISR010) 米国 PCI セキュリティ基準審議会より認定セキュリティ評価機関 (QSA) として承認 vii

11

12 Part 1 PCI DSS 概要 1

13 Part 1 PCI DSS 概要 ペイメントカードを取り巻く環境 情報漏 事故 多発 ECの拡張と共に犯罪も大規模化 2000 年代の中期以降 EC(Electric Commerce) が急速に進展する時期を境に ペイメントカードの情報が流出する大規模な事件 事故が多発するようになった 象徴的な事件として 2005 年に起きた米国の大手データ処理事業者からのカード情報の流出がある ペイメントカードなどのデータ処理を請け負っていたこの企業から 4,000 万件を超えるカード情報が漏えいした ペイメントカードのプロセシングを行なう以上 一定のセキュリティ基準をクリアすることは当然であり 委託元も厳格な安全基準を求めていた しかし事件は起きた 原因は開発環境の中に 実データを入れてテストしていたためとされており 開発環境と本番環境は必ず分離 という一般的なセキュリティ基準に反していたことになる ペイメントカードは世界中で利用できるという利便性の一方 いったん情報が漏えいしてしまうと 世界中の関連事業者 消費者に影響が及ぶ そのためこの事件を契機に 各国際ペイメントブランドが定めていたセキュリティ基準の統一が図られ 安全対策を強化するための議論が活発化した しかし その後も深刻な事件は頻発する 数千万件 中には億単位に及ぶペイメントカードの情報が漏えいする事件がプロセシング会社や大規模加盟店などで起きており 2010 年代に入っても終息する兆しはない カード情報の漏えいはECだけではない 2013 年末には 北米の大手スーパー Target 社から4,000 万件を超えるカード情報が流出した事実が明らかになった 犯行の詳細は開示されていないが 店頭の POSシステムにつながるサーバにマルウェアが仕掛けられ クリスマス商戦の最中にレジで使われているペイメントカードの情報が 社内のサーバと同時に犯罪者のコンピュータにも送られたと見られている この年の2 月には カード犯罪史上 例を見ないスケールの事件も起きている 世界中に散った共犯者が27カ国で同時にATMを操作し 約 45 億円を強奪した Visaキャッシュアウト事件 である 漏えいしたペイメントカードの情報を使って偽造カードを作り 2 月 20 日のほぼ同時刻 世界中のVisaのネットワークにつながるATMに実行犯が張りつき 一気に現金を引き出した 犯罪者は日本にもいたとされている システム側のカウントでは4 万回の取引がごく短時間の間に行なわれ システムが異常を検知してアラートを出したときには すでに現金が引き出されていた 標的はアメリカからアジアへ大規模な情報漏えい事件はこれまでは米国が多かったが 最近はアジアでも増加傾向にある 2014 年 2 月には 韓国のペイメントカード3 社から 合計 1 億件を超える顧客情報が漏えいした 主な原因は運用体制にあり システム開発会社が不正検知プログラムのテスト時に実データを使用し セキュリティ対策が十分に施されていないPCからUSBメモリ経由で窃取された 日本国内でも深刻な情報漏えいは何度も起きている 2013 年から2016 年の間に限っても 著名なメーカー 商社のECサイト 通販 生命保険 オンラインゲーム運営企業などのサーバから 個人情報とそれに付随するペイメントカードの情報が流出した 象徴的な事件としては 2013 年 10 月に表面化したセブンネットショッピング ( 現セブン & アイ ネットメディア ) が運営するECサイト セブンネットショッピング への不正アクセスが挙げられる 2013 年 4 月から7 月にかけて 同サイトへの不正ログインが繰り返され 最大で15 万件に及ぶカード情報が流 2

14 出した可能性が浮上した Webサイトにはカード情報を1 度記録すれば 次回に買物をする際は入力を省略できる機能があり ここを制御するプログラムに脆弱性があった 2016 年 3 月には 江崎グリコの通販サイト グリコネットショップ が不正アクセスを受け 約 8 万 3,000 件の顧客情報が流出し うち約 4 万 3,700 件はクレジットカードの情報を含むと発表されている 2016 年 5 月には 前述した Visaキャッシュアウト事件 の国内版とも言える大規模なカード犯罪が起きた 全国 17の都道府県に設置されたコンビニ店内のATMから 偽造されたと見られるペイメントカードを使って 現金合わせて14 億円が引き出された 南アフリカの銀行が発行した1,600 枚のカード情報が使われ 短時間の間に1 万 4,000 回 ATMからの不正引出しがあったとされている ここ数年 国内で個人情報の漏えいが発生した際 必ずと言っていいほど カード情報を含むか否かも公表されるようになってきた 江崎グリコの場合 セキュリティコードに関する情報まで言及している 住所氏名が漏えいしても すぐに実害に結びつく可能性は高くはないが カード情報はそうではない ECサイトなどでそのまま決済ができるペイメントカードの情報は 個人の財産にも等しい 情報漏えい事故の際 カード情報に言及されることは こうした認識が拡がってきた証であり カード情報を扱う全ての事業者に対して一層の安全強化が求められている 流出事故から見えるPCI DSSの意義最近の情報漏えい事故からは PCI DSS 準拠の重要性も読み取ることができる 近年の情報漏えいでは サイトへの侵入は許すことになったが PCI DSSで定められたログ ( 通信記録 ) のチェックなどを実践していた結果 早期に異常を検知しカード情報の不正利用を最小限に止めることができた例もある その一方 情報流出に気づかずに放置してしまった場合 数百万円以上の実害が出てしまうケースも多い もう一つ こうした状況から見えることは PCI DSS 準拠はゴールではないという点である セキュリティ対策に100% はなく PCI DSSも情報漏えいの根絶を保証するものではない できる限り強固なプロテクトを固め 万一の際の影響を最小限に止めるための手順を確立する手段がPCI DSSである この点を認識した上で 安全対策に取り組んでいただきたい POSも安全ではない 2016 年 1 月 大手ホテルチェーンのハイアットから POSシステムに仕込まれたマルウェアが原因で 日本国内の4 拠点を含む54の国と地域の250 拠点から ペイメントカードの情報が漏えいした可能性があることが公表された POSに仕込まれたマルウェアによる情報漏えいは 米国では前述のTarget 社のような事件が何度か報告されていたが 国内ではこれが初めての被害とされる POSのマルウェア自体は 数年前から国内でも発見されていた セキュリティベンダーのトレンドマイクロの調査によると POSを標的としたマルウェアは増加しており 国内では2014 年は8 件だったが 2015 年は55 件が検出されている POSのセキュリティ対策に関しては誤解も多い 当社のPOSはクローズド という声はよく聞く 確かにPOS 自体はインターネットに接続されていないとしても 売上管理や在庫管理のためLANにはつながっている つまり POSは一般的なオフィスの構成機器の一つであり 無線 LANやストレージなどのコンポーネントを介して マルウェアに汚染されるリスクはゼロではない また国内のPOSシステムの 90% は企業ネットワークとの親和性からWindows OSで稼働しており そのうちの半数以上はすでに 2014 年 4 月にマイクロソフトのサポートが切れているWindows XP Embeddedが使われているとする報告もある こうした実態を考慮すると 国内でもPOSを標的にした不正行為と被害が増える可能性は高く Web 3

15 Part 1 PCI DSS 概要 サーバやデータベースと同様の安全対策が求められるようになってきている インターネット 企業ネットワーク 決済サーバ POS システム (Windows) 業務サーバ ( 在庫管理 商品管理 ) POS を標的にしたマルウェアの増加要因 1. IP+Windows の汎用的な環境 2. サーバに比べ脆弱性情報も少なく メンテナンスが困難 3. 数年のライフサイクル ( 改修なしで運用するケースが多い ) 漏えい事故の影響の大きさを知る情報漏えい事件に共通する点は カード会員データが流出しても 直後は自身で検知できないことである モノは盗まれればすぐに分かるが 情報は抜き取られても気づかないケースが多い 世界中からアクセスが可能な危険な場所にカード会員データが置かれている事実には 常に関心を払わなければならない 情報漏えいの事故が起きれば 企業は甚大な被害を受ける 損害賠償は企業活動に支障をきたすほどの額になる 前述した米国のTarget 社では 株価下落と売上の低下を招き CEO( 最高経営責任者 ) の退任にも結びついた ペイメントカードは 基本的には国際ペイメントブランドが定める世界共通のルールで運用されており 犯罪もボーダレス化 広域化している カードのデータが流出すると 世界規模の事件に発展する可能性は棄てきれない VisaのATMが狙われたVisaキャッシュアウト事件に象徴されるように 金融機関ですら想定していなかった新手の大規模犯罪が起きる可能性は常にある これまでに挙げた国内外の事例から分かるように 情報の取り扱いに対して意識が高いプロセシング事業者 生命保険 損害保険 そしてカード会社のような金融業界でも事件は起きている ペイメントカードを扱うあらゆる事業者は 安全対策の強化を怠ってはならないのである 国内法 整備 カード情報はセンシティブな個人情報 2005 年に施行された個人情報保護法では ペイメントカードの情報は同法で保護されるべきもっともセンシティブな個人情報の一つとして位置付けられている クレジットカードを所管する経済産業省からは 個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン として カード会員データを含む個人情報の取り扱いに関する指針が発行されている 内容はPCI DSSに近いと言えるが 具体的なコントロールの手法までは記されていない (P13 個人情報保護法との相関 に詳細を記述) なお プリペイドとデビットカードは金融庁が監督官庁であり 経済産業省の ガイドライン や 後述する クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画 においても プリペイドとデビットに関する指針は明記されていない 一方 PCI DSSはペイメントカード つまり プリペイドとデビットも対象であり カード情報を扱う事業者は 決済カード と位置付け これらは同等に扱う必要がある 4

16 ペイメントカードの業法である割賦販売法は 2008 年 6 月の改正で現在につながる骨子ができあがっている 改正の主な目的は 与信の厳格化や不正な住宅のリフォームなど いわゆる悪徳商法を防止するための法改正だが そのタイミングでカード会員データの保護に関する義務化の条文が追加された 具体的には第 35 条の16と17で ここでカード会員データの保護責任と罰則が 法律に明記されることになった 2009 年 4 月のパブリックコメント公開では 適切に管理するとは どのレベルを示すのか といった主旨の質問が寄せられていた 経済産業省の回答は 省内で具体的なレベルまで規定することはせず 同省が認定する割賦販売協会が整備するとした ( 同年 12 月 1 日に社団法人日本クレジット協会 現一般社団法人日本クレジット協会 が認定割賦販売協会として認定された ) 同法律の建付けとして重要な点は カード会員データを保護する義務は カード会社にある としたことである 正確には加盟店の開拓 管理を行っている会社 ( アクワイアラ ) が 配下の加盟店の情報保護に対する行政上の責任を持つ 同法ではここが明記され 加盟店から情報が流出した場合 行政処分という意味では経済産業大臣がアクワイアラに対して出すことになる カード会社は同法の要請により 自らカード会員データを保護するだけでなく 契約先の加盟店に対してもきちんと指導していく立場となる パブリックコメントが集まる以前から カード会社から見るとPCI DSSを広くあまねく加盟店に求めるのは ハードルが高すぎる 負担が大きすぎる 非現実的という声があった しかし ペイメントカードには 世界共通に使えるという利便性と特性がある 日本だけが独自の基準で運用することは難しい もし仮に国内で独自の安全基準を定め PCI DSSより低い要求に設定した場合 海外に渡航した日本人のカード情報はPCI DSSのレベルで保護されるが 外国人が日本国内で決済する際は それより低いレベルの基準が適用される 不公平と言わざるを得ないだろう こうした点からもカード会社および加盟店は 国際的な基準に基づき カード会員データを保護することが必須と言えよう カード会員データの取り扱い方次第では 完全準拠に必要なPCI DSSの要件を419 項目 ( 最終確認 ) から22 項目以下に絞ることも可能である こうした情報をきちんと加盟店に伝えていくことにより 実効的なカード情報保護が成されると考える 割賦販売法のその後の動きに関しては 2010 年 12 月に改正割賦販売法が施行され 5 年後に見直す と記されたことに従い 2014 年から経済産業省所管の 割賦販売小委員会 において継続的に検証作業が行われ 2016 年 12 月に新たな 改正割賦販売法 が可決 成立した (2018 年 6 月までに施行 ) 改正法のカード業務に関する内容は 2016 年 9 月に公開された 割賦販売法 ( 後払分野 ) に基づく監督の基本方針 (2016 年 10 月 1 日施行 ) においてほぼ示されており カード業務の委託先の管理が強化される方向が記されている 具体的には 決済代行やプロセシング ( データ処理 ) 事業者など サービスプロバイダ からの情報漏えいが多いため アクワイアラと同等の規制が設けられることになった 基本方針の公開以降 国内の決済代行事業者は法令への対応を進めている また海外では 決済代行事業者がアクワイアリングのライセンスを保持している例が多く 基本方針の施行を機に日本でも同様の方向に進む可能性もある 5

17 Part 1 PCI DSS 概要 割賦販売小委員会の検討事項と法整備の方向 クレジット取引の環境変化への対応 加盟店管理態勢の強化アクワイアラ 決済代行事業者など クレジット取引に関わる事業者が増加した環境下で適切な加盟店管理態勢を確立 セキュリティ対策の強化 カード情報の保護カード情報の義務主体 義務内容の見直し 偽造防止 本人確認などの強化 IC 化 ( カード 端末 ) の推進特にEC 環境における本人確認技術の強化 経済産業省がカード情報保護に関して指針を発表日本政府が2014 年に打ち出した 日本再興計画 では 2020 年の東京五輪に向けて キャッシュレス化の推進と安全なカード決済環境の整備が明記されている 経済産業省では 割賦販売法の改正と並行して 日本再興計画に基づく実務上のアクションプランの策定を進め 2017 年 3 月に クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画 を発表した 骨子は以下の3 点である 1. カード情報の保護 2. カード偽造防止対策 3. ECにおける不正利用対策 1. カード情報の保護は 2020 年 3 月までに加盟店がカード情報を持たない 非保持化 を進め 保持する場合はPCI DSSへの準拠を進めるという計画である ( カード会社 決済代行事業者は2018 年 3 月までにPCI DSS 準拠を完了 ) 2. は 2020 年までにクレジットカードと決済端末のIC 化 (EMV 対応 ) の100% 達成を目指す なお 海外ではICカード化が急速に進み MastercardはATMのEMV 対応を2016 年 Visaは2017 年中を目処に義務付けている ( EMV の詳細はP8を参照) そして3. では ECにおける成りすましなどの被害を最小化するため 多面的 重層的な不正使用対策 として 3Dセキュア セキュリティコード 属性 行動分析などの技術 手法の活用を推進するとしている 従来 国や公的機関から発表されるセキュリティ関連の文書は 概念的な内容が多かったが この実行計画では 非保持化 の具体的なシステム構成に関しても言及している カード情報の非保持化は PCI DSSのドキュメントにおいても 適用範囲を設定する上で重要と位置付けられており Part 2の PCI DSSの適用範囲 の項で改めて採り上げる 接続技術 変化 決済環境の変化と安全対策 2000 年以前は ECサイトなどの電子商取引において カード会員データを直接インターネット上で通信することをカード会社は許可しておらず 専用線や独自の通信手順でしか決済処理はできなかった その後 SSL(Secure Socket Layer) などの暗号化技術が普及し 今ではECサイトにおける非対面取引はもちろんのこと 飲食店などの店舗での対面取引であっても インターネットを通信回線として利用す 6

18 る状況になっている カード会員データのインターネットでの取り扱いが一般化したことで ECサイト上の決済手段としてペイメントカードの取り扱いは格段に利便性が向上し 導入する店舗と利用者は飛躍的に増加した その一方で インターネットに接続されたシステム上にカード会員データを保存するリスクは内包したままとなっており 前述したとおりインターネットを介したカード会員データの情報漏えいは 極めて深刻な事例を含め 内外で頻繁に発生している こうした背景から2006 年 9 月 ペイメントカードの五つの国際ブランドは 加盟店やペイメントカードのデータ処理や決済代行を請け負うサービスプロバイダなどを対象に カード会員データを安全に保護するためのデータセキュリティ基準 PCIデータセキュリティ基準 (PCI DSS) を制定した この基準はカード業務を扱う事業者に対し 情報漏えいを予防することを一義的な目的としているが 実際に流出事件が発生した事業者がペイメントカード取引を再開する条件の一つとして 国内の主要なアクワイアラはPCI DSSへの完全準拠を挙げている ECサイトを運営する事業者にとって もっとも主要な決済手段であるペイメントカード取引を中断されることは 事業継続上の大きな問題であることは言うまでもない カード決済が中断されている間の機会損失は計り知れず また再開のめどが立たず事業を閉鎖する企業もある PCI DSSの準拠は義務か? という質問が頻繁にあるが すでにその質問について議論する段階は過ぎている 自らの事業を護るために また有事の際の事業継続を考慮すると ペイメントカード情報はもっとも優先順位の高い個人情報として保護されるべきであり そのための投資は事業者にとっては必須と考えるべきであろう 多様化する接続技術とリスクの増大特に2010 年以降 カード決済に用いられる接続技術は大きく変化している 新しい技術の進展は カード決済のすそ野拡大につながり システム構築 運用コストの削減にも寄与している しかしその反面 新しいサービス システムは 当初から万全の安全対策を確立することは難しく カード決済における新たな隙を作ってしまう可能性も棄てきれない ここでは 決済分野に導入されている新しい技術の特徴と課題について触れておく ここ数年の情報技術の分野における大きな波は クラウド コンピューティングがまず挙げられる カード決済への導入は サーバ側 端末側の二つの側面がある サーバサイドは ECサイトを構築するシステムのクラウド環境への移行である 近年は Webサーバやアプリケーションサーバなど 決済処理の中心を担うシステムもクラウド事業者が提供するサーバリソースを使って構築されるケースも多い PCI DSSでもクラウドや仮想化技術の進展に呼応して要件を整備しており Ver2.0 以降は仮想化を使う場合のテスト手順も定めている 決済端末にもクラウド技術の導入が進み 端末をシンクライアント化して 決済処理をサーバ側で行なうシステムも普及してきた 加盟店端末ではカード情報の処理 伝送 保存はしないため シンクライアント型決済の採用によって PCI DSS 準拠の負荷は軽減できる もう一つの動きとして スマートフォンやタブレット端末に小型のカードリーダーを接続してカード決済を行なう スマートフォン決済 の台頭がある 米国では2009 年に創業したSquareなどの事業者が広め 日本国内でも2011 年頃から参入が続き 現在は数社がサービスを提供している セキュリティ対策はそれぞれの事業者が独自に進めているが カードリーダーでカード情報を読み取ると同時に暗号化し 端末側にデータを残さない点は共通している PCI DSSの関連基準では 決済端末やアプリケーションの仕様として PCI PTS PA-DSSがある 7

19 Part 1 PCI DSS 概要 スマートフォン決済サービスも対応は進んでいるが 初期に普及したICチップ付きのカード (EMV 仕様 ) を扱えないカードリーダーが数多く市場に残る点は課題と言える スマートフォン決済は今後も拡がりが予想されることから 国際ペイメントブランドも対応に動いた Visaでは 新規にサービスを開始する事業者に対して PCI DSS 準拠を前提とし 端末はPCI PTS 決済アプリはPA-DSSへの対応を求めるようになった Visaの方針である以上 スマートフォン決済に参入する事業者は PCI DSS 対応が必須となったと言っていい こうした状況を受けて 先駆者のSquareはIC 対応のカードリーダーを開発 販売している ( 国内提供は2015 年 10 月 ) ただし Squareのシステムは 決済アプリはPA-DSSに準拠しているが 暗証番号 (PIN) を入力するPINパッドが付属しないため PCI PTSには対応していない 国内の事業者もPCI DSS 対応はほぼ完了し 楽天がPCI PTS 準拠のIC 対応端末を2014 年 12 月に投入し ベリトランス コイニーなどの主要な事業者も現在はPCI PTS 対応の端末を提供している スマートフォン決済サービスの端末 ICカードリーダー PINパッドを搭載しPCI PTSに準拠 出典 : 楽天 PCI DSS 準拠を進めるに際しては こうした新技術の動向と安全対策について念頭に置くようにしたい なお この他にもカード情報を トークン と呼ぶ識別子に置き換える トークナイゼーション や 加盟店側にカード情報を保持しない カード情報非保持 も広義の 接続技術 に含まれるが これらに関してはPart 2の PCI DSSの適用範囲 でとり上げる EMV 仕様とPCI DSS EMVは 金融決済システムで使われるICチップ付きのカード および決済端末などのシステムの仕様である Europay Mastercard Visaの頭文字をとった略語で 仕様の制定と管理は ペイメントカードの国際ブランドなどが出資するEMVCoが担う ICチップには 磁気ストライプのカードに含まれる全てのデータに加え 安全性を上げるための情報が入っている EMV 仕様のカードを使った決済では チップのデータは暗号化され トランザクションごとに異なるIDで識別するため 対面決済における偽造カードを用いた不正はほぼ防止できる 制定された経緯や管理組織が異なるため PCI DSSではEMVに直接言及している要件はないが カード情報の保護を強化する手法として 両者は密接な関係があると言える 8

20 VisaやMastercardなどの国際ブランドも EMVの普及には力を入れている 特に欧州の先進国ではカードのIC 化とEMV 仕様の決済端末の導入はほぼ完了し カナダ 中東 西アジアなどの地域でも普及率は高いレベルにある 日本の場合 カードは7 割前後がIC 化されているが POS 端末の多くがICを扱えない状況が続いている 日本と並んでEMV 対応が遅れていた米国では カード情報漏えい事故の多発を受け 2014 年に当時のオバマ政権がカード取引の安全強化を政策として掲げたこともあり 急速に導入が進んでいる 2015 年には大手の小売事業者はほぼEMV 対応を終え 今後 4 年間でPOS 端末の92% がIC 化を完了するとされている クレジットカードを取り巻く環境 ( まとめ ) 米国における情報漏えい事件 - 大手プロセシング会社 ECサイトなどで 大規模なカード情報の漏えい事件が顕在化 - 大手流通やATMネットワークを狙った不正な現金引出しなど リアル店舗でも大規模な漏えい事件が多発 国内でもカード情報の漏えいは頻発 -メーカー 生命保険 ECサイト オンラインゲームサイトなどで情報漏えいが発生 個人情報保護法をトリガーとしたプライバシーマークの普及と不足要素の顕在化 - 経済産業省がガイドラインを発行 クレジットカード情報を含む個人情報の取扱いについて -JIS Q 15001( 個人情報保護マネジメントシステム- 要求事項 ) は国内限定の規格 改正割賦販売法の施行 -クレジット事業者に対する規制強化クレジット情報の保護のために必要な措置を講ずることを義務づけるとともに カード番号不正提供 不正取得をした者などを刑事罰の対象とする - 違反事業者に対する行政処分が法制化 日本再興計画 の一環として国がカード決済の安全対策を提示 - 経済産業省が クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画 を発表 -カード情報非保持の方式やPCI DSSに準拠すべき事業者などの具体的な例を示す 接続技術の変化 - 専用端末 専用回線を用いた決済から 汎用のPC サーバ インターネットを利用した決済が一般化 - 特に2010 年以降 クラウド コンピューティング スマートフォン決済の台頭などカード決済に利用する端末と接続技術は多様化 PCI DSS とは? PCI DSSは 米国発の基準である Visa / Mastercard / JCB / American Express / Discover の五つの国際ペイメントブランドがデータセキュリティ基準を統一し 各社が出資するLLC(Limited Liability Company) の形で PCIセキュリティ基準審議会 が設立された 以後は 同審議会を PCI 9

21 Part 1 PCI DSS 概要 SSC と表記する なお 5ブランドのうち Diners Clubの親会社であるDiscoverは日本国内でのカード発行業務は行っていないが 2006 年にJCBとの間で日米両国における加盟店網を相互開放する契約を締結している これ以降 日本でDiscover 米国でJCBブランドが使える環境が徐々に拡がっている PCI 基準とは? PCIの基準には PCI DSSのほかに PCI PTS PCI PA-DSS PCI P2PEがある PCI PTS(PIN Transaction Security) は PIN( 暗証番号 ) 入力用のデバイスを製造する端末メーカー PCI PA- DSS(Payment Application-Data Security Standard) は パッケージソフトウェアメーカーを主な対象にした規格である そしてP2PE(Point to Point Encryption) は エンド~エンドで暗号化するシステムに関する規格で ペイメントアプリケーションやハードウェアメーカーなどを主な対象としている ここで注意したい点は PCI DSSとその他の規格の関係である PCI PTSやPA-DSS PCI P2PEに準拠しているデバイスやソフトウェアを使用した加盟店やサービスプロバイダが そのままPCI DSSに準拠できるということではない これらの規格はあくまでも PCI DSSへの準拠を容易にするものという位置づけであり この点はPCI DSSのドキュメントでも明記されている PCI 基準とは? P2PE 製造メーカー PCI PTS PIN エントリーデバイス ソフトウェア開発メーカー PCI PA-DSS ペイメントアプリケーション P2PE 加盟店サービスプロバイダ PCI DSS セキュリティ環境 カード会員データをターミナルデバイスやPOSシステムを介して通信する またはハードウェアにより暗号化するモジュール (HSM:Hardware Security Module) の暗号化アルゴリズムの仕様で PIN( 暗証番号 ) が漏れないようにするため それらのデバイスのメカニズムを定義したものである PCI SSCのWebページにPCI PTSに適合したデバイスのリストが公開されている パッケージアプリケーションを対象としたカード会員データを保護するためのソフトウェア仕様である 代表的な例として挙げられるのは データ処理会社やカード会社などが使っているメインフレーム系のパッケージソフトウェアである サービスプロバイダは承認されたパッケージソフトウェアを使用することにより PCI DSSに準拠しやすくなる PCI SSCのWebページに 検査済みのペイメントアプリケーションのリストが公開されている 10

22 最初にカード情報を読み取る決済端末から決済アプリケーション データ転送を制御するサービスプロバイダ アクワイアラなど カード決済の処理に関わる拠点間をエンド~エンドで暗号化する仕様である 加盟店と外部との通信時は 一般にTLS(SSLはPCI DSS Ver3.1 以降は禁止 ) やVPNなどの暗号化技術が用いられるが 社内 LANの内部ではWebサーバとデータベースサーバなどの間で 平文で通信する部分も残っている 米国で起きた情報漏えい事件では ここが狙われた例もある P2PEはアプリケーションの処理まで含め エンド~エンドで暗号化し安全性を高めることができる PCI P2PEは端末自体に対する基準ではなく 端末とアプリ 暗号カギを管理するサービスプロバイダなどで構成する PCI P2PEソリューション として認定を受ける PCI SSCのサイトにPCI P2PEに適合したソリューション およびP2PEの審査を行う認定事業者 (QSA) のリストが公開されている solutions applications assessors PCI PTS PA-DSSなどを使用し ( 使用しないシステムも含め ) カード会員データの保存 処理 または送信を行うネットワーク アプリケーションを対象としたデータの取り扱い基準である PCI 基準の概略と相関 ( まとめ ) PCI PTS -PINデバイスの暗号化プロセスやPINの保護に関するメカニズムを対象とし 暗号化されたPIN がペイメントアプリケーションやハードウェア端末に実装される PCI PA-DSS -パッケージのペイメントアプリケーションを対象とし PCI DSSへの準拠をサポートする PCI P2PE -ペイメントアプリケーションを含めたエンド~エンドの暗号化を対象とし PCI DSSへの準拠をサポートする PCI DSS -カード会員データの伝送/ 処理 / 保存を行うシステム ネットワークおよびアプリケーションを対象としている 法整備や国による後押し PCI DSSが制定された当時の米国では マサチューセッツ州 ミネソタ州 テキサス州などで PCI DSS 準拠を州法で義務付ける動きも見られた 法制化は準拠比率を一気に押し上げるが 必ずしも最適な方策とは言えない 法律で義務付けることによって組織の意識はコンプライアンスに過度に傾き 本来の 11

23 Part 1 PCI DSS 概要 目的である安全性向上の施策との間にズレが生じてしまうからである また PCI DSSが制定された2006 年当時に比べ テストや分析ツールの進歩で 安全とされてきたプロトコルやサービスに脆弱性が見つかるケースが増えてきた 攻撃側も新手の手法を次々に出してくる こうした状況で柔軟に安全対策を進めていくには 法制化は必ずしもベストな手段ではない 国や関係省庁は PCI DSSをカード決済の安全性向上に有効な基準として認めながら 法制化はせずにバックアップする形が理想的な姿と言える 実際 米国をはじめPCI DSSの普及が進む国では こうした対応が主流になっており 日本においてもこの流れができてきた 前述した経済産業省による クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画 もこの方向に合致したものと言える プロジェクトの立ち上げにおいては 経済産業省が音頭を取って 国際ブランドやカード会社 決済代行事業者 PCI DSSの認定審査機関 (QSA 会社 ) などが参加する クレジット取引セキュリティ対策協議会 を組織し 官民の協力体制の下 カード決済の安全確保とPCI DSSの普及を推進している 国内の基準との対比 PCI DSSの最新バージョンは 2016 年 4 月に公開された PCI DSS Ver.3.2 ( 日本語版は2017 年 5 月 ) である 移行期間として2016 年 10 月 31 日までは 2015 年 4 月に発行されたVer3.1を用いた監査も許容されていたが 11 月以降はVer3.2に統一された 国内の情報保護に関する基準であるプライバシーマークとISMS( 情報セキュリティ マネジメントシステム ) PCI DSSの位置付けを 次ページの表 国内基準との対比 で示した PCI DSSは カード会員データの保護を対象にしている これに対してISMSは 企業にとって重要な情報資産 が保護すべき対象で この基準でカード会員データを守っている企業もまだ多い PCI DSSはカード会員データを保護する 機密性 の視点が強く 技術的な実装基準である プライバシーマークは 消費者保護の視点から個人情報を保護する管理手法である 一方 ISMSは 企業が重要とする情報資産を 機密性 完全性 可用性 の観点からバランスよく保護する手法と言える 準拠する対象は PCI DSSは情報システムが中心となり その周辺のシステム運用やトレーニングなどの業務プロセスも対象に含まれる 一方 プライバシーマークとISMSは 情報保護をテーマとして PDCAのサイクルがきちんと廻っているか が論点となり 審査の対象は主に業務プロセスそのものになる PCI DSSの第三者評価機関は PCI SSCから認定されているQSA(Qualified Security Assessor: 認定セキュリティ評価機関 ) である プライバシーマークは一般財団法人日本情報経済社会推進協会 (JIPDEC) およびその指定機関 ISMSはJIPDEC 情報マネジメントシステム認定センター (ISMS-AC) の認定審査機関 (2018 年 2 月現在 26 機関 ) が審査する 国内基準との対比 ( 表 ) PCI データセキュリティ基準 プライバシーマーク (Pマーク) ISMS 基 準 PCI DSS Ver2.0 (11/01/01 ~ 14/12/31) PCI DSS Ver3.1 (15/01/01 ~ 16/6/30) PCI DSS Ver3.2 (16/04/28 ~) JIS Q 15001:2006 JIS Q 27001:2014 ISO/IEC 27001:

24 基準の性格 ペイメントカード情報を取り扱うために機密性の基準を一定以上とすること 個人情報を消費者の観点で保護すること 情報セキュリティマネジメントシステムを構築 / 運用し 組織が重要と判断する情報資産を機密性 / 完全性 / 可用性の観点にてバランスよく保護すること 監査 ( 審査 ) の対象 カード加盟店 カードサービスプロバイダにおけるペイメントカード情報を伝送 / 処理 / 保存する情報システム及び関連する業務プロセス 個人情報マネジメントシステム 個人情報の取り扱いに関する組織における業務プロセス 情報セキュリティマネジメントシステム 組織が定めた適用範囲における業務プロセス 第三者認証 ( 評価 ) 機関 米国 PCI 基準審議会が承認する認定セキュリティ評価機関 (QSA) 及び認定スキャニングベンダー (ASV) 一般財団法人日本情報経済社会 推進協会 (JIPDEC) 及びその指 定機関 ISMS-ACが認定する認証機関 公益財団法人日本適合性認定協会 (JAB) が認定する認証機関 個人情報保護法との相関 2005 年に施行された個人情報保護法には 第 20 条において安全管理措置が定められている 特定の産業分野向けに個人情報の適正な取り扱いの確保に関する活動を支援する具体的な指針として定めた 個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン が発行され クレジットカード情報を含む個人情報の取扱い が定義された (2004 年 10 月策定 2009 年 10 月最終改正 ) その後 2017 年 5 月 30 日の改正個人情報保護法の全面施行以降 同ガイドラインは廃止され 個人情報保護委員会が定めるガイドライン ( 個人情報の保護に関する法律についてのガイドライン ) に一元化された クレジットカード情報を含む個人情報の取扱いについてクレジットカード情報 ( カード番号 有効期限等 ) を含む個人情報 ( 以下 クレジットカード情報等 という ) は 情報が漏えいした場合 クレジットカード情報等の不正使用によるなりすまし購入などの二次被害が発生する可能性が高いため クレジットカード会社のほか クレジットカード決済を利用した販売等を行う事業者およびクレジットカード決済を利用した販売等に係る業務を行う事業者並びにこれら事業者からクレジットカード情報等の取扱いを伴う業務の委託を受けている事業者 ( 以下 クレジット販売関係事業者等 という ) は クレジットカード情報等の安全管理措置として 特に以下の措置を講じることが望ましい また 個人情報データベース等を構成する個人情報によって識別される特定の個人の数の合計が過去 6カ月以内のいずれの日においても5,000 人を超えない者であっても クレジット販売関係事業者等であれば クレジットカード情報等の保護の観点から 以下の措置を講じることも含め 本ガイドラインに規定されている事項を遵守することが望ましい なお クレジットカード会社は 経済産業分野のうち信用分野における個人情報保護ガイドライン ( 平成 16 年経済産業省告示第 436 号 ) に定めがある場合には その例による 1クレジットカード情報等について特に講じることが望ましい安全管理措置の実施 2クレジットカード情報等の保護に関する規定を含む契約の締結 3クレジットカード情報等を直接取得する場合のクレジットカード情報等の提供先名等の通知又は公表 13

25 Part 1 PCI DSS 概要 各項目を実践するために講じることが望まれる手法の例示 1クレジットカード情報等について特に講じることが望ましい安全管理措置の実施 クレジットカード情報等について 利用目的の達成に必要最小限の範囲の保存期間を設定し 保存場所を限定し 保存期間経過後適切かつ速やかに破棄 クレジット売上伝票に記載されるクレジットカード番号を一部非表示化 クレジットカード読取端末からのクレジットカード情報等の漏えい防止措置を実施( 例えば クレジットカード読取端末にはスキミング防止のためのセキュリティ機能 漏えい防止措置等 を搭載する等 ) クレジットカード情報等を移送 送信する際に最良の技術的方法を採用 他のクレジットカード販売関係事業者等に対してクレジットカード情報等が含まれる個人情報データベース等へのアクセスを許容している場合においてアクセス監視等のモニタリングを実施 2クレジットカード情報等の保護に関する規定を含む契約の締結 クレジットカード情報等を取り扱う業務に係る契約の締結の際に クレジットカード情報等の保護に関する規定を設定 ( 例えば クレジットカード情報等の保護の観点から情報提供を求める旨の規定や クレジットカード情報等の取扱いが不適切なことが明らかな場合において当該情報を取り扱う業務の是正を求めることや当該業務に係る契約を解除する旨の規定を設定 ) 3クレジットカード情報等を直接取得する場合のクレジットカード情報等の提供先名等の通知又は公表 インターネット取引においてクレジットカード情報等を本人から直接取得するなど クレジットカード情報等を本人から直接取得する場合 法第 18 条各項の規定に基づき 本人に利用目的を明示又は通知若しくは公表するほか クレジットカード情報等の取得者名 提供先名 保存期間等を通知又は公表出典 : 個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン ( 平成 21 年 10 月 9 日厚生労働省 経済産業省告示第 2 号 ) カード会員データについて望ましいとされる安全管理措置については カード会員データの利用に際し 目的の達成に必要な最小限の保存期間の設定 保存場所の限定 利用後のすみやかな破棄などが含まれる また 売上伝票などに記載されるカード会員番号は 数年前までは13 ~ 16 桁の番号がそのまま記載されていたが 同ガイドラインでは 決済端末から出力される伝票 POSレジの画面などは 番号の一部を非表示にすることを求めている これらの点は PCI DSSの要求事項の一部である (PCI DSSでは より具体的に実装基準を規定 ) また 本ガイドラインに記述されているスキミング防止策は Ver2.0まではPCI DSSで直接取り扱うテーマではなかったが Ver3.0 以降はカードリーダーのリスト管理 改ざんなどに対する定期的な検査などが 要件 9.9で追加されている 安全管理措置 のその他の項目では カード会員データを伝送する際の暗号化 データベースのアクセス監視などが含まれているが 暗号の強度 モニタリングの手法などの具体的な規定はない PCI DSSでは こうした部分がより具体的な技術仕様として示されており 網羅性が高く より実効的な基準として同ガイドラインの安全管理措置を遵守することができる 14

26 改正割賦販売法との相関 改正割賦販売法は2010 年 12 月 17 日 過剰与信の防止 に関する記録保存や行政処分などの規定が盛り込まれ 完全施行された 施行時 5 年以内の見直し が決められており 2014 年秋以降 継続的に議論が行われ2016 年 12 月に細部が変更された新法が可決 成立している (2018 年 6 月までに施行 ) 同法の骨子は2010 年に施行された改正法でほぼ固まっており ペイメントカード業界に関連が深いところでは クレジットカード番号などの保護 に関し カード会社 ( イシュア アクワイアラ ) 加盟店やその業務委託先に対し カード情報の安全管理義務を課した部分である なかでも 同法第 35 条の16では加盟店に対し クレジットカード番号などの適切な管理を求めており 経済産業省からカード会社への業務改善命令も盛り込まれた 個別クレジット業者 ( 個別信用購入あっせん業者 ) に対しても登録制を導入し 登録を受けた法人以外の営業を規制した なお 登録業務は経済産業省が割賦販売協会として認定するもので 日本クレジット協会 (JCA) が担うことになる 同法ではカード会社や加盟店に対して どのような予防策を定めるのかが焦点となった 改正項目の一つとして クレジットカード番号などの適切な管理に関する規定が 第 35 条の16で設けられた また 第 49 条の2において クレジットカード番号などの不正提供 不正取得をした者 人を欺いてそれらの情報を提供させた者などを刑事罰の対象としている また カード会社の講ずる措置が経済産業省令 ( 施行規則第 132 条 133 条 ) で定める基準に適合していないと認められるときは 当該クレジットカード会社に対し 改善命令を発令することができる ( 第 35 条の17) 不正利用目的のクレジットカード番号などの漏えい 窃取などの禁止 ( 第 49 条の2) に関しては 3 年以下の懲役または50 万円以下の罰金が科せられる 2016 年 12 月に成立した新法では クレジットカード決済における不正やデータ流失が横ばいで推移している点 アクワイアラ 決済代行事業者のウェートが増し 国内の決済環境が多様化している点を加味して調整が行われた 特に決済代行事業者は事業者数が増加傾向にあり 海外アクワイアラと契約して国内の加盟店に決済環境を提供する業務を軸とする企業も存在するなど 決済業界における役割は拡大し 事業も多様化している 2010 年の改正時には決済代行事業者 また当時は存在していなかったスマートフォン決済事業者は規制対象に含まれていなかったが 改正後は加盟店に対する適正な審査 / 途上調査 クレジットカード情報などの保護に関して 既存のアクワイアラと同様の規制をかけることになった また2016 年 9 月には 割賦販売法 ( 後払分野 ) に基づく監督の基本方針 が発表されており (2016 年 10 月 1 日施行 ) アクワイアラ 決済代行事業者の加盟店に対する管理義務 具体的にはカード情報の適切な管理 情報漏えいがあった際の対応方法を指導することなどが盛り込まれている 平成 20 年 6 月国会にて改正法案が決議 - 支払可能見込額調査義務および過剰与信防止義務 - 個別クレジット業者 ( 個別信用購入あっせん業者 ) に対しても登録制を導入して 登録を受けた法人以外の営業を規制 -クレジットカード番号等の保護 第 35 条の16( クレジットカード番号などの適切な管理 ) 15

27 Part 1 PCI DSS 概要 -クレジットカード番号などの不正提供 不正利用を防止するため そうした行為を行なった者などは刑事罰の対象になる また クレジット会社だけでなく 加盟店やその委託先などにおいてクレジットカード番号などの情報を利用している事業者に対して 安全管理措置が義務付けられた 法定刑は3 年以下の懲役または50 万円以下の罰金となる 第 35 条の17( 改善命令 ) - 経済産業大臣は 違反業者に対して当該措置に係る業務の方法の変更 その他必要な措置をとるべきと命ずることができる 平成 20 年 12 月 26 日政令案 - 具体的な管理基準は認定割賦販売協会が制定 平成 21 年 4 月 4 日パブリックコメント公開 平成 21 年 12 月 1 日改正割賦販売法の施行 同時に ( 社 ) 日本クレジット協会 ( 日本クレジット産業協会が改称 ) が35 条 18に基づく認定割賦販売協会として 経済産業大臣より認定を受けた - 認定割賦販売協会の役割 業界の自主規制ルールを定める 自主規制ルールが実効されるよう 会員に遵守状況の調査 指導する 利用者の利益保護のため 加盟店に関する情報を登録し 共同して利用する制度( 加盟店情報交換制度 ) を運営する 利用者の相談 苦情の対応を行い 広報 啓発活動を強化する 平成 26 年 9 月 26 日割賦販売小委員会で見直し作業の開始 平成 27 年 3 月 19 日 中間的な論点整理 に対するパブリックコメント公開 平成 28 年 9 月 30 日 割賦販売法 ( 後払分野 ) に基づく監督の基本方式方針 発表 平成 28 年 12 月 9 日改正法案が可決成立 ISMS(JIS Q 27001:2014) との相関 ISMSの狙い 2018 年 2 月現在 一般財団法人日本情報経済社会推進協会 (JIPDEC) より ISMS(JIS Q 27001:2014) の認証取得組織数は約 5,500と公表されている JIPDECのWebサイトによると プライバシーマーク付与事業者は2018 年 2 月現在で約 1 万 5,600 社を数え 短期間に多くの企業が取得した点で大きな成功であると評価された しかしその一方で 取り下げの件数も増加している実態がある ISMSはプライバシーマークに比べ 件数では少ないものの堅実な伸びがみられる ISMSの管理組織であるJIPDECからは クレジット産業向け PCI DSS /ISMS ユーザーズガイド が発行されている このガイドラインの狙いは ISMSを利用するカード会員データを取り扱う組織が PCI DSSを利用してISMSの有効性を高めていくことにある PCI DSSとISMSは 双方とも情報セキュリティの基準であるが PCI DSSはカード会員データを取り扱う組織向けに特化したものであり 技術の実装まで踏み込んだより具体的な基準である ISMSは全世界の全業種 組織の規模の大小に関わりなく 広くあまねく適用することを前提にしているため 詳細管理策などの要求事項は抽象的で解釈に幅も生ずる ISMSで定義される133 項目の詳細管理策は 企業のリスク受容基準によりその適用を選択することができ またそれ以外の詳細管理策を適用 16

28 しても構わないとしている カード会員データのようにセンシティブな情報を扱う組織は ISMSのフレームワークを使用し PCI DSSの適用によって実効性の高いコントロールのレベルを構築することを推奨している ISMSとPCI DSSの相違点 ISMSとPCI DSSの最大の違いは 適用範囲の考え方にある ISMSは適用範囲の有効性が確認できれば任意に設定できるのに対して PCI DSSはカード会員データの伝送 処理 保存する情報システムやその周辺の業務プロセスに適用される カード会員データを取り扱う範囲が 自動的に適用範囲となるという考え方である この違いは誤解されがちなため 注意していただきたい ISMSの認証取得組織がPCI DSSの範囲を任意に設定しようと進めているケースがあるが 対象範囲を適用除外する場合は その範囲においてカード会員データの取り扱いをなくさなければならない ISMSの詳細管理策 133 項目は抽象的なものであるが 要求事項の背後にある目的という観点ではPCI DSSとの親和性は高い 要求事項の80% 程度が重複しており 上記ユーザーズガイドではそれらをマッピングしている ISMSの認定機関であるISMS-ACが同書を発行していることにより 両基準は統合して運用できると言える PCI DSSにこれから準拠する企業の多くは すでにISMSを認証取得しているため PCI DSSを個別に構築する必要はなく ISMSで規定した文書や管理策を利用しながら準拠を進めることも可能である また ISMSとPCI DSSは審査 ( オンサイト監査 ) のサイクルが双方とも1 年であり 要求事項の大半が重複していることから複合審査 ( 監査 ) もできる ( プライバシーマークの外部監査サイクルは2 年に1 度のため 現時点での複合審査は不可能 ) 国内での複合審査はすでに複数の事例があり 今後は初期構築の段階で同時に認証取得する企業も多数出てくるものと思われる 複合審査を実施する際の一般的な形としては 情報セキュリティ全体の基準であるISMS 審査を前半の工程で行い 重要資産であるカード会員データを取り扱う組織の特定 カード会員データの取扱いがPCI DSSの要求と合致しているか 情報セキュリティ規定がPCI DSSの要求を網羅できているかを確認し その後の工程でISMSと重複していない部分に対しPCI DSS 監査を実施する ISMS 審査を先に終了することにより 文書類や現場ヒアリングの大部分を完了できるため PCI DSSオンサイト監査工数の圧縮も可能である ISMS と PCI DSS の関係 ISMS 企業情報全体のリスクマネジメント PCI DSS ペイメントカード業務 適用範囲はカード情報を扱うエリア ISMS の管理策 ( 要求事項 ) 133 PCI DSS の要件 415 ISMS の要求を細分化した基準が PCI DSS と位置付けられるが 重複する領域も多く同時審査も可能 17

29 Part 1 PCI DSS 概要 PDCAを廻すには併用が有効 ISMSとPCI DSSの双方を実践する意義は PDCAが確実に廻る点にある PCI DSSには四半期や1 年に1 度の実施が課せられる要件があり 四半期の場合 年 4 回のチェックが全て基準をクリアする必要がある 4 回連続して合格点に達しなければ 準拠認定を受けることはできない つまり いったん準拠できた要件であっても 安全性を維持するにはPDCAを着実に廻していかねばならない PCI DSSはシステムに関する具体的な実装基準であり 継続性は企業の姿勢に依存する部分が残る 一方 ISMSはPDCAが前提となる制度で 定期的なチェックは必ず入る PCI DSSに取り組む企業でも ISMSやプライバシーマークなどのマネジメントシステムに未対応の組織では PDCAが廻っていないケースも散見される 当然ながら PCI DSSの目的は準拠自体ではなく システムの安全性を高めそれを維持していくことにある そのためには 運用面の重視 PDCAの実践が欠かせない PCI DSSの要件全体を貫く考え方も変わりつつある Ver2.0までは テクノロジがあってプロシジャ ( 手順 ) があって 運用が廻るというものだった Ver3.0からはテクノロジ プロシジャの次にヒューマン 人の介在を重視する要素が濃くなってきている テクノロジとプロシジャがあっても 人為的な要因 ミスや悪意からの事故は根絶できない そのリスクを軽減するには PDCAを廻しながら意識の向上を計ることが重要とする考え方である PCI DSSの基本精神に立ち返り 安全性を維持していくには 運用面からの補強 ISMSなどのマネジメントシステムの併用を考えるべきである ISMS(JIS Q 27001:2014) との相関 ( まとめ ) 一般財団法人日本情報経済社会推進協会 (JIPDEC) より クレジット産業向け PCI DSS /ISMSユーザーズガイド が2006 年 3 月 (2009 年 3 月改訂 ) に発行されている 要点 -ISMSとPCI DSSは共に情報セキュリティ基準である -PCI DSSはカード関連情報の保護 ISMSは業種を問わず広範な領域での情報保護を目的として設計された基準である -PCI DSSは実装レベルの詳細な規定である ISMSの適用範囲は その範囲に有効性が確認できる場合は任意に設定できるが PCI DSSの対象範囲はカード会員データが伝送 処理 保存される情報システムおよびその周辺の業務プロセスと定義されている ISMSの詳細管理策 133 項目との親和性が高く PCI DSS 監査項目の遵守状況を確認することで ISMSの管理策を80% 程度確認できる ( 詳細は クレジット産業向け PCI DSS /ISMSユーザーズガイド の2.6 PCI DSSとISMSのマッピング参照 ) ISMSの4 項に要求されるPDCAサイクルの運用と差分を適用した詳細管理策の評価 / 確認を行なうことで ISMSの運用との統合が可能である ISMS 認証の要求する審査サイクルとPCI DSSの要求する監査サイクルが同じであるため 同時審査 ( 監査 ) も可能である 18

30 カード会員データを扱う業務の流れ カード会員データを扱う業務の流れ 加盟店 1. 買い物 7. 購買許可 カード会員 金融機関 2. 承認要求 8. 売上確定通知 アクワイアラ 10. 請求処理 イシュア 4. 承認要求 5. 購買許可 3. 承認要求 国際ブランド ( ネットワーク ) 6. 購買許可 9. 売上確定通知 EC 決済の場合 通常は加盟店とアクワイアラの間に決済代行事業者が介在する PCI DSSにおける事業者の役割を理解するため カード決済業務の流れを示す システム構成と大きなフローは図示したとおりだが 加盟店とカード会社間の契約 カード会社の業務形態 ネットワークの形状などによって 処理の流れは変わる場合もある ここで示す例は 一般的な形態である点は留意していただきたい 買物から請求に至るまでを以下のステップに分けて見ていく 買物 承認要求 購買許可 売上確定通知 請求処理 1 2 ~ 4 5 ~ 7 8 ~ 9 10 カード会員が加盟店でペイメントカードを使って買物をすると (1) まず加盟店からアクワイアラに対して カードの有効性 限度額などを照会する承認要求 ( オーソリゼーション : オーソリ ) が行なわれる (2) 承認要求を受けたアクワイアラは カード発行会社であるイシュアへ問い合わせる オーソリのデータは 通常はカード決済の共通ルールの制定 管理を行なっている国際ブランド ( ペイメントブランド ) のネットワークを介してイシュアに伝送される (3-4) イシュアは要求されたカード会員の情報を照合し 問題がなければ購買許可のデータをブランドのネットワーク アクワイアラを介して加盟店に戻す (5-7) 承認要求と購買許可の処理が終わると 加盟店は商品やサービスをカード会員に提供して購買が成立する 売上が確定した後 加盟店は売上確定通知をアクワイアラに送り その内容をアクワイアラは請求処理を行なうイシュアに伝える (8-9) そして後日 イシュアはカード会員が登録した金融機関を通じて請求を出す EC 決済では 加盟店とアクワイアラの間に 決済代行事業者 (PSP:Payment Service Provider) が介在する EC 事業者のサイトでは カード会員のカード情報を受け付け アクワイアラに承認要求を出し 購買許可のデータを受けるなどの工程をセキュアに行う必要がある 一連の処理をEC 事業者が行うには負担が大きいため 決済代行事業者がセキュアなネットワークを構築し EC 加盟店とカード会社間の決済処理を代行している 19