対象試験と出題頻度
PCI DSSは、ITパスポート・情報セキュリティマネジメント・基本情報技術者・応用情報技術者で出題されることがあるテーマです。
クレジットカード情報に関するセキュリティ基準として、基本的な概念を押さえておきましょう。
詳細をクリックして確認
ITパスポート
情報セキュリティマネジメント
基本情報技術者
応用情報技術者
★★☆☆☆
ランクC(応用)余裕があれば覚える
用語の定義
PCI DSS(Payment Card Industry Data Security Standard)とは、一言で言うと「クレジットカード情報を安全に取り扱うための国際的なセキュリティ基準」のことです。
イメージとしては、「クレジットカードを扱うお店やシステムの安全ルールブック」のようなものです。
飲食店が食品衛生法を守らなければならないように、クレジットカード情報を扱う事業者はPCI DSSという基準を守る必要があります。「カード情報を盗まれないようにしっかり管理してね」というルールが、細かく定められているわけです。
情報処理試験を勉強していると、「PCI DSSって誰が守るの?」「ISMSとは何が違うの?」という疑問が浮かびがちです。PCI DSSはクレジットカード情報を扱うすべての事業者が対象で、カードブランド(Visa、Mastercard等)が共同で策定した業界基準です。ISMSは情報セキュリティ全般の認証制度ですが、PCI DSSはクレジットカードに特化した基準という違いがあります。
📊 PCI DSSの基本情報
| 項目 | 内容 |
|---|---|
| 正式名称 | Payment Card Industry Data Security Standard |
| 日本語名 | PCIデータセキュリティ基準 |
| 策定組織 | PCI SSC(Payment Card Industry Security Standards Council) |
| 対象 | クレジットカード情報を取り扱うすべての事業者 |
| 現行バージョン | PCI DSS v4.0(2022年3月公開) |
解説
PCI DSSは、クレジットカード情報の漏えいや不正利用を防ぐために、国際的なカードブランドが共同で策定したセキュリティ基準です。
ECサイト、小売店、決済代行会社など、カード情報を扱うあらゆる事業者が準拠を求められます。
PCI DSSが生まれた背景
かつて、クレジットカード情報の漏えい事件が世界中で多発していました。カード情報が盗まれると、不正利用による被害がカード会員や加盟店、カード会社に及びます。
そこで2004年、Visa、Mastercard、American Express、Discover、JCBの5大カードブランドが共同でPCI SSC(PCI Security Standards Council)を設立し、統一的なセキュリティ基準としてPCI DSSを策定しました。
💡 PCI DSSの目的
・カード会員データの保護
・不正利用の防止
・カード決済システム全体の信頼性向上
・国際的に統一されたセキュリティ基準の提供
PCI DSSの対象となる事業者
PCI DSSは、クレジットカード情報を「保存」「処理」「伝送」するすべての事業者が対象です。具体的には以下のような事業者が該当します。
📊 PCI DSSの対象事業者
| 事業者の種類 | 具体例 |
|---|---|
| 加盟店 | 小売店、ECサイト、飲食店、ホテルなど |
| サービスプロバイダ | 決済代行会社、ホスティング事業者、データセンターなど |
| カード会社 | イシュア(カード発行会社)、アクワイアラ(加盟店契約会社) |
「うちは小さなお店だから関係ない」と思うかもしれませんが、クレジットカード決済を導入している限り、規模に関係なくPCI DSSの対象となります。ただし、カード情報を自社で保存せず、決済代行会社に任せている場合は、準拠の負担が軽減されます。
PCI DSSの6つの目標と12の要件
PCI DSSは、6つの目標と12の要件で構成されています。試験では12の要件すべてを暗記する必要はありませんが、「6つの目標がある」「セキュリティ対策が体系的に定められている」という点を理解しておきましょう。
📊 PCI DSSの6つの目標と12の要件
| 目標 | 要件 |
|---|---|
| 安全なネットワークとシステムの構築・維持 | 1. ファイアウォールの導入と維持 |
| 2. ベンダー提供のデフォルトパスワードを使用しない | |
| カード会員データの保護 | 3. 保存されたカード会員データの保護 |
| 4. ネットワーク経由でのカード会員データの暗号化 | |
| 脆弱性管理プログラムの維持 | 5. マルウェア対策ソフトの使用と定期更新 |
| 6. 安全なシステムとアプリケーションの開発・維持 | |
| 強力なアクセス制御の実施 | 7. カード会員データへのアクセスを業務上の必要範囲に制限 |
| 8. システムコンポーネントへのアクセスの識別と認証 | |
| ネットワークの定期的な監視とテスト | 9. カード会員データへの物理的アクセスの制限 |
| 情報セキュリティポリシーの維持 | 10. ネットワークリソースへのアクセスの追跡と監視 |
| 11. セキュリティシステムとプロセスの定期的テスト | |
| 12. すべての担当者に対する情報セキュリティポリシーの維持 |
📌 試験対策のポイント
12の要件をすべて覚える必要はありません。
試験では「PCI DSSはクレジットカード情報を守るための基準」「6つの目標と12の要件がある」という大枠を理解していれば対応できます。
PCI DSSとISMSの違い
情報セキュリティの認証制度としてはISMS(ISO/IEC 27001)が有名ですが、PCI DSSとは目的と対象が異なります。
📊 PCI DSSとISMSの比較
| 項目 | PCI DSS | ISMS(ISO/IEC 27001) |
|---|---|---|
| 対象 | クレジットカード情報 | 情報資産全般 |
| 策定者 | カードブランド(業界団体) | ISO/IEC(国際標準化機構) |
| 準拠義務 | カード情報を扱う事業者は実質必須 | 任意(取得は自主的な選択) |
| 要件 | 具体的な技術要件が詳細に規定 | マネジメントシステムの枠組み |
簡単に言えば、PCI DSSは「クレジットカード専用の具体的なルール」、ISMSは「情報セキュリティ全般の管理の仕組み」です。両方を取得している企業も多くあります。
⚠️ 実務でのポイント
日本では、改正割賦販売法により、クレジットカードを取り扱う加盟店はカード情報の「非保持化」またはPCI DSS準拠が求められています。
多くの中小ECサイトでは、決済代行会社を利用してカード情報を自社で保持しない方式を選択しています。試験ではここまで詳しく問われませんが、実務では重要な知識です。
試験ではこう出る!
PCI DSSは、クレジットカードのセキュリティに関する問題で登場することがあります。以下のポイントを押さえておきましょう。
【頻出キーワード】
- Payment Card Industry Data Security Standard
- クレジットカード情報を守るための国際的なセキュリティ基準
- カードブランド(Visa、Mastercard等)が共同策定
- 6つの目標、12の要件で構成
- カード情報を扱うすべての事業者が対象
試験問題で「クレジットカード情報を安全に取り扱うための国際的なセキュリティ基準」や「カードブランドが策定した、加盟店やサービスプロバイダが準拠すべき基準」といった記述があれば、それは「PCI DSS」に関する記述です。
📝 IPA試験での出題パターン
PCI DSSの問題は、「PCI DSSの説明として適切なものを選べ」「クレジットカード情報のセキュリティ基準として適切なものを選べ」といった形式が考えられます。「クレジットカード」「国際的なセキュリティ基準」というキーワードが出てきたらPCI DSSを思い出しましょう。
【確認テスト】理解度チェック
ここまでの内容を理解できたか、簡単なクイズで確認してみましょう。
Q. PCI DSSに関する説明として、最も適切なものはどれでしょうか?
- A. 組織の情報セキュリティを継続的に管理・改善するためのマネジメントシステムの国際規格
- B. クレジットカード情報を安全に取り扱うために、国際カードブランドが共同で策定したセキュリティ基準
- C. 個人情報の取り扱いに関するルールを定めた日本国内の法律
正解と解説を見る
正解:B
解説:
PCI DSS(Payment Card Industry Data Security Standard)は、クレジットカード情報を安全に取り扱うための国際的なセキュリティ基準です。Visa、Mastercard、American Express、Discover、JCBの5大カードブランドが共同で設立したPCI SSCによって策定されました。クレジットカード情報を保存・処理・伝送するすべての事業者が準拠を求められ、6つの目標と12の要件で構成されています。
選択肢Aは「ISMS(ISO/IEC 27001)」の説明です。ISMSは情報セキュリティ全般のマネジメントシステムであり、クレジットカードに特化したPCI DSSとは対象が異なります。選択肢Cは「個人情報保護法」の説明であり、PCI DSSとは別の法制度です。
