PCI DSSとは

PCI DSS(Payment Card Industry Data Security Standard)は、クレジットカード情報の保護に関する国際的なセキュリティ基準です。PCI SSC(PCI Security Standards Council:Visa、Mastercard、JCB、American Express、Discoverが共同設立)が策定・管理しており、カード情報を「保存・処理・伝送」するすべての事業者に適用されます。

最新版はPCI DSS v4.0(2022年3月公開、v4.0.1で一部修正)です。旧版のv3.2.1は2024年3月31日に廃止され、2025年3月31日には新要件のベストプラクティス期間も終了し、すべての要件が必須化されています。

12の要件

#要件概要
1ネットワークセキュリティコントロールの導入・維持ファイアウォール等でカード会員データ環境(CDE)を保護
2すべてのシステムにセキュアな設定を適用デフォルトパスワードの変更、不要サービスの無効化
3保存されたアカウントデータの保護カード番号(PAN)の暗号化、マスキング、不要データの削除
4オープンネットワークでの暗号化カードデータ伝送時のTLS暗号化
5悪意のあるソフトウェアからの保護アンチマルウェアの導入・更新
6セキュアなシステム・ソフトウェアの開発・維持脆弱性管理、セキュアコーディング、パッチ適用
7アクセス制限(業務上の必要性に基づく)最小権限の原則、ロールベースアクセス制御
8ユーザーの識別とアクセスの認証一意のID付与、MFAの適用
9物理的アクセスの制限サーバールームの入退室管理、監視カメラ
10ログと監視すべてのアクセスのログ記録と定期レビュー
11セキュリティシステムとプロセスの定期テスト脆弱性スキャン、ペネトレーションテスト
12情報セキュリティポリシーの維持組織のセキュリティポリシー策定・教育・レビュー

v4.0の主な変更点

変更点内容
カスタマイズアプローチ従来の定義済みアプローチに加え、セキュリティ目標を達成する独自の方法を認める柔軟性を追加
MFAの拡大CDEへの「すべてのアクセス」にMFAを義務化(管理者だけでなく全ユーザー)
パスワード要件の強化最低12文字以上(数字+英字)を要件化
クライアント側スクリプト管理決済ページに読み込まれるすべてのスクリプトの管理・承認を義務化(オンラインスキミング対策)
フィッシング対策フィッシング攻撃を検知・防止する仕組みの実装を義務化

移行スケジュール

時期イベント
2022年3月PCI DSS v4.0公開
2024年3月31日v3.2.1廃止。以降はv4.0(v4.0.1)での評価が必須
2024年6月v4.0.1公開(v4.0の修正・明確化版)
2025年3月31日ベストプラクティス期間終了。64の新要件がすべて必須化

準拠レベルと評価方法

レベル対象評価方法
レベル1年間600万件超のカード取引QSA(認定セキュリティ評価者)による年次オンサイト監査
レベル2年間100〜600万件SAQ(自己問診)+四半期ASVスキャン
レベル3年間2万〜100万件SAQ+四半期ASVスキャン
レベル4年間2万件未満SAQ(カードブランドにより異なる)

特に重要な新要件

  • 要件8.4.2:CDEへの全アクセスにMFAを義務化
  • 要件6.4.3:決済ページのクライアント側スクリプトの管理・承認
  • 要件3.5.1.2:リムーバブルメディア以外でのディスクレベル暗号化の禁止
  • 要件5.4:フィッシング攻撃の検知・防止メカニズム
  • 要件12.10.4:インシデント対応に人員のスキルと訓練を追加

まとめ

PCI DSS v4.0は12要件でカード情報を保護する国際セキュリティ基準です。2025年3月31日に64の新要件が全面必須化され、MFAの全CDEアクセスへの適用、クライアント側スクリプト管理、フィッシング対策が新たに求められています。ECサイト運営者やカード情報を扱う事業者は、v4.0.1への準拠状況を早急に確認しましょう。

参考リンク
IPA 情報セキュリティ ↗NISC ↗経産省 サイバーセキュリティ ↗
E

BTNコンサルティング 編集部

株式会社BTNコンサルティング|情シス365 運営

Microsoft 365・Google Workspace導入支援、IT-PMI(M&A後のIT統合)、セキュリティ対策を専門とするITコンサルティング企業。中小企業の「ひとり情シス」を支援し、ITの力で経営課題を解決します。