出典: フリー百科事典『ウィキペディア(Wikipedia)』 (2024/03/17 06:00 UTC 版)
PCI DSS(Payment Card Industry Data Security Standard = 支払カード産業データセキュリティ規格)は、 クレジットカード情報および取り引き情報を保護するために2004年12月、JCB・American Express・Discover・マスターカード・VISAの国際ペイメントブランド5社が共同で策定した、クレジット業界におけるグローバルセキュリティ基準である。 2022年3月に最新版であるv4.0が発表された。2024年3月末までは、v3.2.1とv4.0がともに有効であるが、2024年3月末にv3.2.1は引退し、v4.0のみが有効な基準となる。[1]
上記5社がPCI SSC (Payment Card Industry Security Standards Council)を設立し、PCI関連基準の策定・維持、評価手順の確立、認定審査会社の教育・試験等を実施している。
PCI DSSはカード会員情報を格納、処理、又は伝送するすべてのメンバー機関、加盟店、サービスプロバイダに対して適用するとされており、その内、カード取扱件数が多い事業者はPCI SSCが認定する審査会社による準拠性確認が必要とされている。
PCI SSCによって認定される機関の一部を下記に記載する。
PCI DSS(バージョン3.2)には、カード会員データおよび取り引き情報を保護するための12要件が規定されている[2]。
クレジットカード、デビットカード、プリペイドカードに代表されるカード決済は、その利便性により、店舗やウェブ決済での使用比率が増えていき、膨大なカード情報の管理が必要となった。それに伴い、カード決済に関わるシステムやネットワークのセキュリティが侵害されることによる、カード利用者、決済店舗、カード発行会社が損害を受ける事態が広がっていった。主要カード会社は、独自のセキュリティ対応策を開発し加盟店へ順守を促したが、カード会社それぞれが独自に指示をしたため対応がまとまらず大きな成果はでなかった。その後、増大するセキュリティリスクへの懸念を払拭するため、2004年12月に主要カード会社が共同で PCIデータセキュリティスタンダードをリリース、2006年に PCI SSC を設立した[3][4]。
