現代のビジネス環境では、デジタル決済とオンライン取引が急速に広がっており、決済に利用するクレジットカード情報をセキュアに保護することがますます重要になっています。

クレジットカード情報の漏洩や不正利用といった重大なリスクに対処するため、クレジットカード業界ではPCI SSC（Payment Card Industry Security Standards Council）が設立され、情報セキュリティの標準を策定しました。
本記事では、PCI SSCの成り立ちと現在の役割、その重要性に加え、PCI DSS以外のセキュリティ基準についても紹介します。

1. PCI SSCとは？

PCI SSCは、クレジットカード業界における情報セキュリティの指針を確立するためにクレジットカードの5大ブランド（Visa、Mastercard、JCB、Amex、Discover）が設立した国際的な組織です。

PCI SSCは、業界内の企業や組織が最新のセキュリティベストプラクティスに従い、クレジットカード情報を適切に保護するためのガイドラインや基準を策定しています。その主な目的は、クレジットカード情報の保護を通じてデータのセキュリティを向上させ、クレジットカード情報を取り扱う企業の信頼を維持することです。

2. PCI DSSとは？

PCI SSCの最も注目すべき業績の一つが、PCI DSS（Payment Card Industry Data Security Standard）の策定です。PCI DSSは、クレジットカード情報の取り扱いに関する包括的なセキュリティ基準であり、クレジットカード情報を保護するための具体的な要件と手順を提供しています。

この基準は、クレジットカード情報の機密性を保ちつつ、不正利用や漏洩を防ぐことを目指としています。PCI DSSの要件は、ネットワークセキュリティ、アクセスコントロール、暗号化、定期的な監査など、多岐にわたります。

PCI DSSの適用対象は、クレジットカード情報を取り扱う全ての事業体です。例えば、小売業、ホテル、レストラン、オンラインストア、決済サービスプロバイダなど、データの伝送や保存、処理を行う全ての企業や組織が対象となります。PCI DSSは、これらの事業体がクレジットカード情報のセキュリティを確保するための具体的な基準を提供しています。

3. カードブランド毎の個別基準がもたらした問題点とPCI SSCの設立

以前は各クレジットカードブランドが独自のセキュリティ基準を策定しており、情報セキュリティの指針がブランドごとに異なっていました。

クレジットカード加盟店が単一のブランドのみを利用しているケースでは大きな問題にはなりませんでしたが、様々なカードブランドを利用すると、ブランドごとに異なるセキュリティ基準にすべて対応するのは加盟店にとって大きな負担であり、また取引を実施するにも複雑な調整が必要でした。クレジットカード業界には統一されたセキュリティ基準の必要性が台頭し、各カードブランドのセキュリティ基準を統合し、業界全体で共通の基準を策定することで、セキュリティの向上と効率化を実現するニーズが高まりました。

こうした背景から、クレジットカードの5大ブランドが共同でPCI SSCを設立し（PCI SSCの設立当初は5大ブランドでしたが、2023年の銀聯（Union Pay）が参画し、現在は6大ブランドになっています）、今まで別々にあったカードブランド毎の基準を一元化し、業界全体のセキュリティ基準を策定する使命を持たせました。

PCI SSCの成果として、6大ブランドに共通するPCI DSSという包括的なセキュリティ基準を策定し、クレジットカード業界全体でのセキュリティ向上とデータ保護の一貫性を実現しました。これにより、業界全体でのセキュリティ基準のレベルが統一され、クレジットカード情報を取り扱う事業体のセキュリティコントロールが標準化され、更にセキュリティレベルが向上することにより、関連事業体の信頼性が強化されました。

4. PCI SSCが提供する他の基準

PCI SSCは、PCI DSSとPCI SSFに加えて、さまざまなセキュリティ基準を策定しています。これらの基準は、異なる側面のセキュリティ課題に対応するもので、クレジットカード情報の保護を強化するための枠組みを提供します。

PCI DSS 以外にPCI SSCが策定した主なセキュリティ基準をいくつか紹介します。

• PTS（PIN Transaction Security）: クレジットカードのPINを使用したトランザクションのセキュリティを向上させるための基準であり、PIN入力デバイスやカードリーダー、ATMなどの決済端末製造者が対象です。
• SSF（Software Security Framework）: 決済アプリケーションソフトウェアのセキュリティを向上させるためのフレームワークであり、決済アプリケーションを開発・提供するソフトウェアベンダーが対象です。
• P2PE（Point-to-Point Encryption）: クレジットカードデータの取引時の暗号化を通じてセキュリティを確保するための基準であり、カードデータを暗号化して送信するソリューション提供者・加盟店が対象です。
• 3DS（3-D Secure）: オンライン取引での本人認証（3-D Secure）の安全性を確保するための基準であり、3-D Secureのサーバ・アクセスコントロールサーバ・ディレクトリサーバを提供する事業体が対象です。
• PCI PIN Security Requirements: PIN（暗証番号）データのライフサイクル全体を通じた暗号化・鍵管理・アクセス制御の要求事項であり、ATM、POSなどPINを処理・伝送・保管する事業体が対象です。

まとめ

PCI SSCは、クレジットカード業界における情報セキュリティの推進役として重要な存在です。PCI DSSを含むセキュリティ標準の策定と監視を通じて、企業や組織がクレジットカード情報の保護とセキュリティを確保する手助けをしています。

クレジットカード情報の漏洩や不正利用のリスクは残念ながらゼロになることはないと考えられますが、PCI SSCの存在と努力によって、クレジットカード情報のセキュリティは着実に向上し、クレジットカード取引の安全性が確保されることでしょう。