読み方:ビーシーアイ・ディーエスエス
正式名称:Payment Card Industry Data Security Standard
PCI DSSは、クレジットカード情報を安全に取り扱うための国際的な基準です。
この基準は、VISAやMastercard、JCBなど、主要なカードブランドが共同で設立した団体「PCI SSC」によって策定されています。カード情報を保持するすべての事業者が対象です。
PCI DSSは、カード情報の漏えいを防ぐために、技術的・運用的な要件を12項目にまとめています。例えば「ファイアウォールの構築」「初期パスワードの変更」「アクセス権限の制限」「ログの取得と監視」など、基本的なセキュリティ対策が具体的に求められています。
では、「PCI DSSに準拠する」とはどういうことでしょうか。それは、これらの要件を満たしていることを、年に1回、所定の方法で証明することを意味します。証明の方法は、事業の規模や取引量によって異なりますが、大きな企業では外部の監査機関による審査(QSA:Qualified Security Assessor)を受ける必要があります。
「そんなに厳しい基準、ウチには関係ない」と思われるかもしれません。しかし、万が一カード情報が漏えいした場合、企業には多大な損害が生じます。金銭的な補償だけでなく、信頼の低下やブランドへのダメージは計り知れません。そうならないための“保険”として、PCI DSSはとても重要な意味を持ちます。
私たちも、日々この基準に沿ったセキュリティ対策の審査・支援を行っています。ルールを守るだけでなく、企業と利用者の信頼関係を守るための「土台」として、PCI DSSの考え方は非常に役立つものだと感じています。
用語解説の監修:増井 敏克