PCI DSS【Payment Card Industry Data Security Standard】PCIデータセキュリティスタンダード/PCIコンプライアンス

概要

カード発行会社（イシュアー）や加盟店管理会社（アクワイアラー）、加盟店、銀行、決済代行業者など、クレジットカード情報を取り扱うすべての事業者を対象としたもので、情報システムや情報管理についての詳細で具体的な要件を定めている。カード業界以外でもセキュリティ基準の標準として利用されることがある。

PCI DSSでは、「安全なネットワークの構築と維持」「カード会員データの保護」「脆弱性管理プログラムの整備」「強固なアクセス制御手法の導入」「ネットワークの定期的な監視およびテスト」「情報セキュリティポリシーの整備」の6つの目的のために12の要件を定めており、これらはさらに約200の具体的な項目に細分化されている。

米ビザ（VISA）、米マスターカード（MasterCard）、米ディスカバー（Discover）、米アメリカン・エクスプレス（American Express）、JCBの国際カードブランド大手5社が管理団体「PCI SSC」（Payment Card Industry Security Standards Council）を運営しており、基準の策定や改定、審査機関の認定などを行っている。

一般の加盟店など、取り扱うカード情報の規模が小さい事業者は、準拠すべき要件をチェックリスト形式でまとめた自己診断を行い、すべての項目を満たせば良い。カード発行会社など取り扱い規模が大きい事業者はQSA（Qualified Security Assessor）呼ばれる認定審査機関による訪問審査などが行われる。