PCI DSS

「PCI DSS」

データ活用やDX成功に必要な考え方を、各種キーワードの解説で理解できる用語解説集です。
今回はクレジットカードに関わるITの安全を支える「PCI DSS」について解説し、それを通じて安全安心なITシステムについて考えます。

PCI DSSとは

「PCI DSS」とは、「Payment Card Industry Data Security Standard」を略した言葉です。訳すと、クレジットカード業界データセキュリティ標準、となります。
クレジットカードは「お金」を取り扱うため、セキュリティ侵害による被害が発生しやすく、関連するITシステムは安全安心を重視した慎重な運用が求められます。そこで大手主要カード会社が、クレジットカードを取り扱うITシステムが守るべきセキュリティ標準を定めたものがPCI DSSです。

クレジットカード「安全安心」のために保護すべき範囲

クレジットカードはご存知の通り、後払い式の決済手段として代金の支払いなどで広く使われているものです。現金での取引に対し、様々な利便性があるために広く使われていますが、クレジットカードを用いた取引が安全に行える状況を作るためには「安全安心なITの整備」がその前提として必要になります。

現金での取引では、いわば物自体に価値があるものを受け渡しするので、その場所・その時点で比較的シンプルに取引を完結させることができます（偽札かどうかの心配などはありますが）。クレジットカードで決済を行う場合には、その場所・その時点だけで完結せず、カード会社にそのカード番号でその金額で決済する旨を問い合わせ、決済できることを確認し、決済内容についてもカード会社側に記録してもらう必要などがあります。その場で済む現金取引とは違って、離れた場所にあるカード会社のITシステムとのやり取りを経る必要があります。

その過程でクレジットカード番号が盗まれたり漏洩したりすると、不正な取引がなされてしまい決済手段としてうまく機能できなくなってしまいます。そうならないためには決済時の一連のやり取り全体を保護する必要があります。カード決済をするその場所はもちろん、カード決済をするサーバ側、そしてその間の通信経路、およびITシステムの開発や運用に関わる人々全体も含めた「全体」を「安全安心」に保護しておく必要があります。

インターネット時代になって深刻になった不正利用

クレジットカードはインターネットが生まれるよりも前から世界に普及しています。当初より不正利用の問題はありましたが、インターネットが登場してからは特に不正利用の問題が深刻になっています。インターネット以前では、店舗にあるカード決済の端末と専用線などの「閉じられたIT」でのカード番号のやり取りでした。インターネットで決済手段として利用する場合、ECサイト自体はもちろん、カード決済を行うシステムも通信経路もインターネット上にあることが多くなり、大規模なカード番号の漏えいや不正利用が起こりやすくなりました。

そのような問題がある一方で、インターネット上での決済こそクレジットカードの活躍が期待される領域でもあり、クレジットカード自身の未来にとっても重要な市場でした。現実世界のようにカードが使えないからと現金支払いにはできませんし、その都度口座振り込みをして振込確認をしていたら、それだけで翌日までかかってしまいます。

どうすれば不正利用を減らせるでしょうか。カード決済に関わるITシステムや通信経路全体が安全に作られていれば、事故は発生しにくくなります。クレジットカードに関連するITに全般的に問題があるわけではなく、きちんと作られていないITシステムがあってそれが事故を起こしてしまうことが問題であり、それを防ぐ必要があります。しかし、一般の利用者はもちろんカード会社にとっても、それぞれのITシステムが安全に作られているかどうかを個別に確認することは現実的には困難です。

そこでカード会社は、インターネット上でカード番号を取り扱うITシステムに対する「安全の共通基準」を作り、その基準を守って開発・運用されているITシステムであるかどうかで判断をすることにします。

カード会社大手5社による「PCI DSS」の登場

クレジットカード会社は一社だけではありません。最初、カード会社各社がそれぞれ「安全の基準」の整備をはじめましたが、ITシステムを開発運用する側からすると、各社の基準にそれぞれ別途対応することになり非効率で、それではインターネットでのカード決済利用の普及を妨げてしまいかねませんでした。

そこで、クレジットカードの世界的大手五社（American Express、Discover、JCB、MasterCard、VISA）が共同で共通基準を設けます。そのための組織「PCI SSC」（Payment Card Industry Security Standards Council）を設立し、クレジットカードによる決済に関わるITシステムや組織が守るべき共通基準を「PCI DSS（Payment Card Industry Data Security Standard）」として取りまとめます。

これにより、クレジットカード決済において、カード番号などのカード会員情報の「格納、処理、転送」に関わる組織や人が守るべきことが明確にされました。

ITシステムそのものだけではなく、運用体制（ITシステムで利用しているIT製品の脆弱性対応で適切な対応がとられる仕組みがあるかなど）、通信経路での安全確保、データが暗号化され保護されて保管されること、保管してはいけないデータは保管されないこと、データのアクセスできる人が制限されアクセス記録も残されるなど、そこに関わる組織や人によって守られているべきことも定められています。

またPCI DSSは定期的に更新され時代に合わせてバージョンアップしており、2004年に「PCI DSS 1.0」が策定され、執筆時点の現在では2022年3月31日に発行された「PCI DSS 4.0」が最新のバージョンとなっています。

我々は「PCI DSS」をどう活用できるか？

安全安心な決済サービスを見分ける基準になる

インターネット上でカード決済システムを利用する際、利用サービスの選定や取引先を選ぶ判断基準になりえます。PCI DSSへの準拠状況が確認できれば、事故などを起こす可能性が高いか低いかの判断材料にできます。

自社で決済システムを開発・運用する際に必要になる

自社でECサイトを開発・運用している場合、あるいは自社でECパッケージソフトウェアを開発するなど決済システムにカード決済機能を持たせたいのであれば、PCI DSSの取得が必要になります。自社製品が十分に準拠していなければ、カード決済システムに関連するITシステムで利用してもらえないプロダクトになる可能性もあります。

ITシステム一般の安全安心の目安になる

PCI DSSはクレジットカード情報を対象として策定されており、他の用途や基準を意図したものではありませんが（例えば、個人情報保護の観点での基準にはなっていない）、PCI DSSへの準拠状況は、そのITシステムがカード番号の取り扱いが許容されるくらいの体制で運用されていると考える判断材料にできます。

あるいは、自社のITシステムをセキュアに運用するに際して、何をすべきかを考える参考とすることもできます。

ただしPCI DSSへの準拠は、コストがかかるだけでなく、そのITシステムに関連する様々な活動を広範に、例えば新機能開発などについてもPCI DSSに準拠した制限下で行うことになるため、発生する多数の手続きなどによりコスト面やビジネススピード面で劣ってしまう可能性もあります。自社でどうかかわるのかはよく考える必要もあります。

「PCI DSS」への準拠ないしはカード決済機能をどう実現するか

自社システムで準拠が求められるような状況ではどうしたらよいでしょうか。PCI DSSに準拠することは立派な取り組みである一方、取り組みは容易ではなく、さらには対応にかかるコストや手間も無視できないところがあります。

「PCI DSS準拠済み」のプロダクトやサービスを活用する

自社でシステム開発をするとき、全てをゼロからスクラッチ開発するケースは多くないはずです。開発で利用するミドルウェアや各種ツール、クラウドサービスなどには、PCI DSS準拠が配慮されたものがあります。

PCI DSS準拠済みのクラウドサービスや、準拠が配慮されたプロダクトを活用することにより、カード番号などを含んだデータの利用が容易になることや、自社で対応する手間や範囲を縮減することができることがあります。

⇒ HULFT Multi Connect Service | セゾンテクノロジー

PCI DSSに準拠した、インターネット経由での様々なプロトコルのファイル転送基盤を提供するサービスです。自社で転送基盤を開発することなく、自社システムから接続するだけでセキュアなファイル転送が可能になります。PCI DSSに準拠した運用や監査の対応も行います。

INS回線などの専用回線を用いていた通信経路を自社で対応せずにインターネット経由に変更する手段として利用できます。HULFT、全銀TCP/IP広域IP網、SFTP、AnserDATAPORT接続、閉域ネットワークへのワンストップでの対応支援など、様々なプロトコルや回線でのでの接続にも対応しています。

外部のカード決済機能を利用し、自社システムからは「つなぐ」

各社でデジタル活用が進められる昨今、自社でECサイトを持ちたいと思い、サービスの内製を進めている組織も、もしかしたらあるかもしれません。当然にカード決済機能は必要だということになり、そう思ったけれどもPCI DSS対応にコストや手間がかかることを知って、どうするか困ってしまうこともあるかもしれません。

そのような場合に、自社でのPCI DSS対応を避ける方法があります。カード決済機能をも持っているECサイトそのものを提供しているクラウドサービスを利用すれば解決しますし、ECサイトは自社開発するけれども、カード決済機能部分については外部サービスを利用して自社システムからはそれを呼び出すだけに留める方法をとれば、自社での対応をせずに済みます。

クラウド時代のIT利活用のコツは「自社で作らないこと」です。様々なクラウド、自社の既存のシステムなどをうまく活用し、それらをうまく「つない」で組み合わせることで自社に必要なITシステムを効率的かつ迅速に実現することができます。

さらには昨今、Fintechと呼ばれるような各社の様々な取り組みが進んでいます。カード決済以外の決済手段が使われるようになり、暗号資産での決済など従来なかった決済手段も出現しつつあります。自社で作らず様々な外部サービスをうまく活用するやり方は、このような決済の世界そのものの変化にへの対応も容易にします。

⇒ データ連携プラットフォーム DataSpider Servista | セゾンテクノロジー

EAIやETLの「つなぐ」考え方をうまく活用してください。PCI DSSに自社では対応せずとも、外部サービスとうまく「つなぐ」ことで同じ機能を持つシステムを作り上げることも可能です。「DataSpider」なら、GUIだけで多種多様なシステムやデータ、クラウドを連携することができます。iPaaSの「HULFT Square」なら、「つなぐ」機能を自社運用不要なクラウドサービスとして利用することもできます。

関係するキーワード（さらに理解するために）

• EAI
  • システム間をデータ連携して「つなぐ」考え方で、様々なデータやシステムを自在につなぐ手段です。IT利活用をうまく進める考え方として、クラウド時代になるずっと前から、活躍してきた考え方です。
• ETL
  • 昨今盛んに取り組まれているデータ活用の取り組みでは、データの分析作業そのものではなく、オンプレミスからクラウドまで、あちこちに散在するデータを集めてくる作業や前処理が実作業の大半を占めます。そのような処理を効率的に実現する手段です。
• iPaaS
  • 様々なクラウドを外部のシステムやデータと、GUI上での操作だけで「つなぐ」クラウドサービスのこと。
• SaaS
  • 一般的に「クラウド」と言ったときにイメージされる、ソフトウェアの利用をサービスとして提供する取り組みのこと。

「iPaaS」や「つなぐ」技術に興味がありますか？

オンプレミスにあるITシステムからクラウドサービスまで、様々なデータやシステムを自在に連携し、IT利活用をうまく成功させる製品を実際に試してみてください。

「つなぐ」ツールの決定版、データ連携ソフトウェア「DataSpider」および、データ連携プラットフォーム「HULFT Square」

当社で開発販売しているデータ連携ツール「DataSpider」は長年の実績がある「つなぐ」ツールです。データ連携プラットフォーム「HULFT Square」はDataSpiderの技術を用いて開発された「つなぐ」クラウドサービスです。

通常のプログラミングのようにコードを書くこと無くGUIだけ（ノーコード）で開発できるので、自社のビジネスをよく理解している業務の現場が自ら活用に取り組めることも特徴です。

DataSpider / HULFT Squareの「つなぐ」技術を試してみてください：

簡易な連携ツールならば世の中に多くありますが、GUIだけで利用でき、プログラマではなくても十分に使える使いやすさをもちつつ、「高い開発生産性」「業務の基盤（プロフェッショナルユース）を担えるだけの本格的な性能」を備えています。

IT利活用の成功を妨げている「バラバラになったシステムやデータをつなぐ」問題をスムーズに解決することができます。無料体験版や、無償で実際使ってみることができるオンラインセミナーも開催しておりますので、ぜひ一度お試しいただけますと幸いです。

• 無料体験セミナーはこちら

「HULFT Square」で貴社のビジネスが変えられるか「PoC」をしてみませんか：

貴社のビジネスで「つなぐ」がどう活用できるのか、データ連携を用いた課題解決の実現可能性や得られる効果検証を行ってみませんか？

• SaaSとのデータ連携を自動化したいが、その実現可能性を確認したい
• データ利活用に向けて進めたいがシステム連携に課題がある
• DXの実現に向けてデータ連携基盤の検討をしたい

• PoCプログラム | HULFT Square

用語集 コラム一覧

英数字・記号

• 2025年の崖
• 5G
• AI
• API【詳細版】
• API基盤・APIマネジメント【詳細版】
• BCP
• BI
• BPR
• CCPA(カリフォルニア州消費者プライバシー法)【詳細版】
• Chain-of-Thoughtプロンプティング【詳細版】
• ChatGPT（Chat Generative Pre-trained Transformer）【詳細版】
• CRM
• CX
• D2C
• DBaaS
• DevOps
• DWH【詳細版】
• DX認定
• DX銘柄
• DXレポート
• EAI【詳細版】
• EDI
• EDINET【詳細版】
• ERP
• ETL【詳細版】
• Excel連携【詳細版】
• Few-shotプロンプティング / Few-shot Learning【詳細版】
• FIPS140【詳細版】
• FTP
• GDPR（EU一般データ保護規則）【詳細版】
• Generated Knowledgeプロンプティング（知識生成プロンプティング）【詳細版】
• GIGAスクール構想
• GUI
• IaaS【詳細版】
• IoT
• iPaaS【詳細版】
• MaaS
• MDM
• MFT（Managed File Transfer）【詳細版】
• MJ+（行政事務標準文字）【詳細版】
• NFT
• NoSQL【詳細版】
• OCR
• PaaS【詳細版】
• PCI DSS【詳細版】
• PoC
• REST API（Representational State Transfer API）【詳細版】
• RFID
• RPA
• SaaS（Software as a Service）【詳細版】
• SaaS連携【詳細版】
• SDGs
• Self-translateプロンプティング /「英語で考えてから日本語で答えてください」【詳細版】
• SFA
• SOC（System and Organization Controls）【詳細版】
• Society 5.0
• STEM教育
• The Flipped Interaction Pattern（解らないことがあったら聞いてください）【詳細版】
• UI
• UX
• VUCA
• Web3
• XaaS（SaaS、PaaS、IaaSなど）【詳細版】
• XML
• ZStandard（可逆データ圧縮アルゴリズム）【詳細版】

あ行

• アバター
• 暗号資産
• イーサリアム
• エラスティック（弾力性・伸縮自在）【詳細版】
• オートスケール
• オープンデータ（open data）【詳細版】
• オンプレミス【詳細版】

か行

• カーボンニュートラル
• 仮想化
• ガバメントクラウド【詳細版】
• 可用性
• 完全性
• 機械学習【詳細版】
• 基幹システム
• 機密性
• キャッシュレス決済
• 共通鍵暗号 / DES / AES（Advanced Encryption Standard）【詳細版】
• 業務自動化
• クラウド
• クラウド移行
• クラウドネイティブ【詳細版】
• クラウドファースト
• クラウド連携【詳細版】
• 検索拡張生成（RAG：Retrieval Augmented Generation）【詳細版】
• コンテキスト内学習（ICL: In-Context Learning）【詳細版】
• コンテナ【詳細版】
• コンテナオーケストレーション【詳細版】

さ行

• サーバレス（FaaS）【詳細版】
• サイロ化【詳細版】
• サブスクリプション
• サプライチェーンマネジメント
• シンギュラリティ
• シングルサインオン（SSO：Single Sign On）【詳細版】
• スケーラブル（スケールアップ/スケールダウン）【詳細版】
• スケールアウト
• スケールイン
• スマートシティ
• スマートファクトリー
• スモールスタート（small start）【詳細版】
• 生成AI（Generative AI）【詳細版】
• セルフサービスBI（ITのセルフサービス化）【詳細版】
• 疎結合【詳細版】

た行

• 大規模言語モデル（LLM：Large Language Model）【詳細版】
• ディープラーニング
• データ移行
• データカタログ
• データ活用
• データガバナンス
• データ管理
• データサイエンティスト
• データドリブン
• データ分析
• データベース
• データマート
• データマイニング
• データモデリング
• データリネージ
• データレイク【詳細版】
• データ連携 / データ連携基盤【詳細版】
• デジタイゼーション
• デジタライゼーション
• デジタルツイン
• デジタルディスラプション
• デジタルトランスフォーメーション
• デッドロック/ deadlock【詳細版】
• テレワーク
• 転移学習（transfer learning）【詳細版】
• 電子決済
• 電子署名【詳細版】

な行

• ニューラルネットワーク
• ノーコード開発（No-code development）【詳細版】

は行

• ハイブリッドクラウド
• バッチ処理
• 非構造化データ
• ビッグデータ
• ファイル連携【詳細版】
• ファインチューニング【詳細版】
• プライベートクラウド
• ブロックチェーン
• プロンプトテンプレート【詳細版】
• ベクトル化 / エンベディング（Embedding）【詳細版】
• ベクトルデータベース（Vector database）【詳細版】

ま行

• マーケットプレイス
• マイグレーション
• マイクロサービス（Microservices）【詳細版】
• マネージドサービス【詳細版】
• マルチテナント
• ミドルウェア
• メタデータ
• メタバース

や行

ら行

• リープフロッグ現象（leapfrogging）【詳細版】
• 量子コンピュータ
• ルート最適化ソリューション
• レガシーシステム / レガシー連携【詳細版】
• ローコード開発（Low-code development）【詳細版】
• ロールプレイプロンプティング / Role-Play Prompting【詳細版】

わ行

• ワークフロー

» データ活用コラム一覧

Recommended Content

Related Content