PCI DSS(Payment Card Industry Data Security Standard)とは、クレジットカード会員データの保護を目的とした、国際的なセキュリティ基準です。
国際カードブランド5社(VISA、MasterCard、JCB、American Express、Discover)が共同で策定し、加盟店様をはじめとする、カード会員データの取り扱い事業者すべてを準拠の対象としています。
- 加盟店様がカード会員データを流出した場合、一般的なカード会社の取り決めでは、カード取引が一時停止となります。国内ECサイトの決済で、約44%を占めるというクレジットカード。カード取引の停止は、大幅な売上減少を招きます。
- カード取引の再開には、カード会社からの確認が必須です。確実な再発防止策を講じた、と認められなければなりません。事件発生時から再発防止にかかる、コストと機会損失は莫大。その後も風評による売上減が確実に発生します。
- カード取引のルールでは、カードを発行した会社(イシュア)がカード番号を所有しています。一度情報流出したカードは不正利用防止のため、再発行を必要とするといわれています。加盟店様が契約するカード会社(アクワイアラ)がその再発行コストを負担する、というルールが実行された際、流出元の加盟店様が負担金を賠償請求される可能性もあります。
| 流出概要 | |
| 2010年3月 | スポーツ用品系M社にて約1.1万件の流出 |
| 2010年7月 | コールセンター事業者B社にて約10件(被害額800万円)の流出 同社の委託先社員が逮捕される。 |
| 2010年8月 | 通販系N社にて約1.2万件の流出 |
| 2010年9月 | 通販系F社にて約7.4万件の流出 |
| 2010年9月 | 通販系A社にて約1千件の流出 |
| 2010年10月 | 通販系H社にて約2.7万件の流出 |
| 2010年12月 | 百貨店系E社にて約3千件の流出 |
| 2011年1月 | 通販系L社にて約2千件の流出 |
| 2011年3月 | スポーツ用品系F社にて約3千件の流出 |
| 2011年4月 | エンターテイメント系S社にて2,460万件の流出 |
| 2011年6月 | エンターテイメント系S社にて3.7万件の流出 |
- カード会員データの流出リスクを大幅に低減できます。
- 万が一、流出事件が発生した際も、PCI DSSへの準拠を証明することで、国際カードブランドやカード会社からのペナルティが免責されることがあります。
※詳細はご契約の各カード会社で異なりますので、各加盟店様にてご確認をお願致します。 - カード会員データが非保持であることと国際基準への準拠をアピールすることにより、自社ECサイトのユーザーにクレジットカード取引の安心感を与え売上の向上が期待できます。
-
カード会員データを「保存」しない、非保持型の決済代行サービスを導入することで、PCI DSSの準拠項目数を大幅に減らし、準拠への負担を軽減できます。
-
決済処理をすべて決済代行事業者に委託している場合(画面サービスを導入)、296の準拠項目が13項目にまで低減されます。
-
カード会員データの伝送・処理は行っていても、保存を決済代行事業者に委託している場合(非画面リンク型非保持サービスを導入)、296の準拠項目が80項目にまで低減されます。
- 昨今、取引件数にかかわらず加盟店が攻撃を受け、クレジットカード情報が流出する事件が多発しています。その予防策としてPCI DSS準拠の必要性が高まっています。
- クレジットカード先進国であるアメリカではPCI DSSの普及が進んでおり、州法によって準拠が義務化(マサチューセッツ州、テキサス州、カリフォルニア州など)されています。
- 国内では、インターネット決済代行事業者などではPCI DSSへの準拠が一般化し、加盟店への普及も始まっています。
カード会員データ非保持型の決済代行サービスを導入されているインターネット加盟店様向けに、ICMSによる「年1回の訪問監査」と「安全証明」を同時に実現するサービスです。
ICMSは認定セキュリティ評価機関(QSA)として、PCI DSSの監査企業数トップクラスの実績を持っております。そのノウハウをもとに、PCI DSSの導入までを分かりやすくご案内します。
- カード会員データの非保持のインターネット加盟店に対してQSAであるICMSが年1回、訪問監査を実施して、PCI DSSの準拠状況を確認します。
- ※通常、年間取引件数600万件以下の加盟店様は自己問診による準拠を証明しますが、本プログラムでは第三者機関により準拠性を証明します。
準拠済みのインターネット加盟店様は、認証マークをWebサイトに掲示できるようになります。これにより、ユーザーにクレジットカードデータの取り扱いの安全性を証明し、安心して買い物やサービス利用してもらうことができます。
| リンク型非保持サービス | モジュール型非保持サービス | |
|---|---|---|
| 形態 | 自社のシステムではカード会員データを「伝送」、「処理」、「保存」をしないインターネット加盟店
※決済処理は全て決済代行事業者に委託している。 |
自社のシステムではカード会員データを「伝送」、「処理」はするが、「保存」をしないインターネット加盟店
※カード会員情報の保存を決済代行事業者に委託している。 ※カード会員データを伝送、処理している拠点は1拠点である。 |
| 準拠する項目数 | 296項目→13項目 | 296項目→80項目 |
| 監査日数 | 約1日 | 約2日 |
| アウトプット | QSAがサインした準拠証明書(AOC)及び 自己問診表(SAQ) | QSAがサインした準拠証明書(AOC)及び 自己問診表(SAQ) |
| 認証マーク | 承認日から1年間有効 | 承認日から1年間有効 |
| 費用 | 初年度 250,000円(税抜) 次年度 200,000円(税抜) |
初年度 580,000円(税抜) 次年度 480,000円(税抜) |
※上記のほか、準拠に必要なシステムやサービスの導入費用は、加盟店様のご負担となります。
| 会社名 | 国際マネジメントシステム認証機構株式会社 略称:ICMS(International Certificate Authority of Management System) |
| 資本金 | 20,000,000円 (2011年7月末現在) |
| 業務内容 | 情報セキュリティに関する第三者認証および審査/監査サービスの提供 |
| 認定基準 | ISO/IEC27006:2007(JIP-ISAC100-2.2) PCI DSS 認定セキュリティ評価機関(QSA) |
| 実績 | ISO/IEC27001 認証登録状況 PCI DSS 監査登録企業一覧 |
| 会社住所 | 〒135-0062 東京都江東区東雲1-7-12 KDX豊洲グランスクエア8F TEL: 03-6204-3355 FAX: 050-3737-4783 |
| 代表 | 代表取締役社長 瀬田 陽介 |