top of page

PCI DSSとは?

◆PCI DSSとは?(Payment Card Industry Data Security Standard)
国際ペイメントブランド5社(VISA、MasterCard、JCB、American Express、Discover)が共同で策定した、クレジット業界におけるグローバルセキュリティ基準です。
クレジットカード会員データを安全に取り扱う事を目的として策定されています。
◆PCI DSSに準拠するには?
◆PCI DSSに準拠するには?
下記、12の要件のセキュリティ基準をクリアしなければなりません。
PCI要件.jpg
PCI DSSに準拠する場合、取り扱われているカード決済件数によって、認定審査機関による訪問審査が必要な場合と、 自己問診によってPCI DSS準拠とする場合があります。
→ 詳細に関しては、下記日本カード情報セキュリティ協議会HPをご覧ください
jcdsc234.png
◆クレジットカード業界を取り巻く動向

相次ぐ不正利用と情報漏洩に伴い、年々被害額が増加しています。
2020年のオリパラ東京開催を前に安全にクレジットカードが利用できる国の実現に向け、 2018年6月に改正割賦販売法が施工されクレジットカード加盟店について、クレジットカード情報の適切な管理が義務付けられました。 

2018年3月1日に経済産業省より発表された実行計画(※)の中で、カード情報を保持・処理・通過をしている場合、PCI DSSに準拠するなどの対策を実施する必要があるとしています。

 

※「クレジット取引セキュリティ対策協議会」が発表した実行計画

       (https://www.j-credit.or.jp/security/pdf/plan_2018.pdf)

 

クレジットカード情報の管理についても、管理する企業のセキュリティはもちろん、その業務を請負っている外部委託先に対しても管理を求めています。
 

同セキュリティ基準に準拠する為にはコストが大幅にかかり、運用維持も大変な為、基本的にはカード情報を持たないよう呼びかけています。

◆クレジットカード業界を取り巻く動向

2018年3月に発表された実行計画では、カード情報を保存する場合、それらの情報は紙のレポートやクレジット取引にかかる紙伝 票、紙媒体をスキャンした画像データ等 (※)のみであり、電磁的に送受信しないこと、すなわち「自社で保有する機器・ネットワークにおいて「カード情報を保持・処理・通過しないこと」を非保持と定義しています。

ASA2.png

※非保持の場合、カード情報は下記形態でのみ保存が認められています。


①紙(クレジット取引伝票、カード番号を記したFAX、申込書、メモ等)
②紙媒体をスキャンした画像データ 
③電話での通話(通話データを含む)

非保持化の対応は加盟店を対象としているものであり、加盟店ではないBPO等のサービスをマルチに提供している企業は非保持化を選択できません。

bottom of page