PCI DSSとは

Tweet

「Payment Card Industry Data Security Standard」の略で、クレジットカード情報および取引情報の安全な管理を目的に策定された、クレジットカード業界におけるセキュリティ基準。2004年12月に策定された。

企業における情報セキュリティ基準といえば、ISO27001やプライバシーマークが著名なものとして挙げられる。また、日本版SOX法の施行に伴い、内部統制環境の強化策として、これらの認証取得に取り組む企業も増えている。

ISO27001やプライバシーマークでは、情報セキュリティ対策の達成目標は個々の組織で設定するのが基本だ。しかし、技術面の対策については、PCI DSSが客観的なセキュリティ基準として注目されている。

PCI DSSでは、ファイアウォールの導入や設定の詳細、アクセスするユーザごとの個別IDの割り振り、通信に関する暗号化の要件など、情報セキュリティにおける技術的な目標が具体的に示されている。守るべき情報資産はカード会員データ環境の範囲に限られているPCI DSSだが、ISO27001認証を取得した後の次の達成目標として、クレジットカード業界のみならず様々な業界から注目が集まっている。

米国では、SOX法対応が一巡した後に多くの企業がPCI DSSの順守確認を受けている。クレジットカードを発行している金融機関やカード決済加盟店、決済代行業者など、カード決済が社会インフラとなっている日本の市場でも、PCI DSSに準拠する企業が増えてくるだろう。