PCI データセキュリティ基準（PCI DSS）遵守に　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　期限を設定

東京, 2008年11月13日

データセキュリティ遵守をVisa全地域共通に

Visaは、本日、ペイメントカード業界のデータセキュリティ基準(PCI DSS)遵守の国際的な義務化に向けたタイムラインを発表しました。これにより、加盟店、サービスプロバイダおよびプロセッサにおける基準の遵守に必要な統一された枠組みが整いました。 
 
この枠組みには、 PCI DSS遵守のバリデーション（遵守状況確認）に関して加盟店に適用される国際的な要件が含まれています。大型加盟店については、PCI DSS完全遵守までの期限が定められています。また、大手の加盟店については、ある特定のセンシティブなカード関連情報を保管していないことを証明するための期限も定められています。
 
国際基準と遵守期限に従い、サービスプロバイダのレベルとPCI DSSのバリデーション要件も統一されました。Visaはアジア太平洋において、PCI DSSに完全遵守し登録を希望したサービスプロバイダのリスト一覧を開示しています。登録されたサービスプロバイダは、Visaがグローバルに保有する16,600の金融機関および何百万もの加盟店のネットワークに対して自社をPRすることが可能です。この登録リスト公開の動きは、電子決済システムを保護しようとする業界全体の動き、及びカード情報漏えいによる財務面、信用面での損害から事業者を守ります。PCI DSSに遵守しているサービスプロバイダを識別して、サービスプロバイダと業務提携を行う必要のあるカード会社と加盟店にとって、不可欠なシステムと言えます。
 
この新しい枠組みは、Visaに属する全ての地域にとっての最低要件を規定するものです。しかし、Visa Europeは、欧州市場での業務運営のためにVisaよりライセンス許諾を受けた独立法人のため、同社が運営するPCI DSS基盤では、レベル1加盟店に対し遵守バリデーションとリスク軽減が適用されますが、遵守バリデーション実施に際しては別の期限とプロセスに従うこととなっています。
 
Visaアジア太平洋地域のリスクマネジメント、リージョナル・ヘッドのマイク・スミスは、「PCI DSS遵守は、グローバル決済システムの統一性確保のために不可欠なものであり、Visaの全地域に遵守プログラムを課すことがカード会員の情報保護のための砦となっています。アジア太平洋地域ではこれらの新しい義務化の施策、サービスプロバイダの登録の開始のほかに、複数の加盟店およびイシュア／アクワイアラのためのトレーニング講座を設けています。これらの講座は、各マーケットが新しい遵守要件を理解することができるように特別に実施されるものであり、最近ではオーストラリアと日本で実施されました。」と述べています。
 
■加盟店のバリデーション要件
 
加盟店のレベルとPCI DSSバリデーション要件の統一
PCI DSSは、カード会員の情報の保護に関する国際的なセキュリティ要件を定めた包括的な基準であり、Visaおよび運営団体(PCI Security Standards Council)を共に立ち上げた他のカードブランド4社によって開発されました。カード会員情報の保管、処理、もしくは伝送を行うすべての加盟店等に対してPCI DSS遵守が義務付けられています。
 
遵守バリデーションはこのプロセスの一部で、カード取引量等に基づいて加盟店ごとに異なる要件が適用されます。Visaは、下記のとおり、加盟店のレベルおよび年間のPCI DSSバリデーション要件を統一しました。
 


¹ – 各地域の判断によっては、該当レベルが上がる場合もあります。
² – 加盟店が複数の国/地域で業務を行っており、そのうち1つの国/地域でレベル1の基準を満たす場合、全ての地域でレベル1加盟店とみなされます。ただし、共通のインフラがなく、かつVisaデータが国を超えて集められ一元処理されていない場合は例外とし、各地域のレベルに従いバリデーションを行うものとします。
 
アクワイアラは、契約する加盟店の遵守について責任を負い、レベル1、2に該当する加盟店は年次報告書を、レベル3に該当する加盟店は、年2回遵守状況報告書をVisaに提出しなくてはなりません。ただし、レベル4加盟店に適用する遵守バリデーションガイドラインは、各アクワイアラが決定します。
 
レベル1／2の加盟店向け保管禁止データの廃棄期限
–2009年9月30日
Visaは、アクワイアラに対し、レベル1／2加盟店が全磁気ストライプデータ（別名：トラックデータ）、セキュリティコード又はPINデータを含むセンシティブなカード関連情報を取引認証後に保管していないことを確認、報告する期限を2009年9月30日としています。
 
「ハッカーが、カード偽造のためにこれらの情報を探しています。Visaが同情報の保管を禁止するのはこのためです。」(マイク・スミス)
 
期限経過後、Visaは必要なリスク管理施策を実施します。例えば、レベル1／2加盟店が保管禁止データを保管していないことの証明書をアクワイアラがVisaに対し提出しなかった場合、罰金が科されることもあります。
 
レベル1加盟店向けPCI DSS遵守バリデーションの期限
–2010年9月30日
Visaは、アクワイアラに対し、レベル1加盟店のPCI DSS完全遵守バリデーション完了の遵守証明書を提出する期限を2010年9月30日としています。2010年9月30日以降、Visaは必要なリスク管理施策を実施します。例えば、レベル1加盟店のPCI DSS完全遵守バリデーションが完了したことの証明書をアクワイアラが、Visaに対し提出しなかった場合には、罰金が科されることもあります。ただし、それ以前に設定された期限やリスク関連の実施プログラムがある場合には、その限りではありません。
 
■サービスプロバイダのバリデーション要件
 
サービスプロバイダのレベルの統一とPCI DSS バリデーション要件
2009年2月1日から、Visaのカード会社、加盟店、その他のサービスプロバイダに対し、Visaカード会員のデータの保管、処理もしくは送信を代行するサービスプロバイダは、以下のとおり分類されます。
 

¹ –いくつかの既存リージョナルプログラムは、ゲートウェイの定義に適用されません。
² –遵守サービスプロバイダのVisaリストに登載されるために、レベル1のサービスプロバイダとしてバリデーションを受ける選択肢もあります。
 
サービスプロバイダのプログラムの登録
Visaは、直接VisaにPCI DSS遵守の事実を報告させるため、アジア太平洋地域にて決済サービスプロバイダの登録を2008年11月より開始しました。登録サービスプロバイダには年間登録料として5,000米ドルが課されます。登録すると、Visaの金融機関･加盟店のグローバルネットワークに対し、優位性を持って販促活動を実施することが可能になります。
 
登録により、認定セキュリティ評価ベンダー(QSA)が実施する「オンサイトレビュー」を通じてPCI DSSに完全遵守していると報告されている決済サービスプロバイダがリスト化されます。登録の内容は、www.visa-asia.com/spregistry/でご覧になれます。
 
「遵守要件の標準化は、当社のグローバル市場におけるセキュリティリスクへの対応力を高めるとともに、世界中で電子決済の将来的な成長を確保するために極めて重要なものとなっています。」(マイク・スミス)
 
義務化の日程

ビザ・ワールドワイドについて

ビザ・ワールドワイド（以下、Visa）は、世界最大の電子決済ネットワークによってVisa、Visa Electron、Interlink、PLUSブランドのカード（クレジット、デビット、プリペイド、法人）の決済処理サービスおよびペイメント・プロダクト・プラットフォームを提供しています。比類ないアクセプタンスを誇るVisaカードは世界中の加盟店で利用できるだけでなく、世界170ヶ国以上の国でVisa/PLUSのグローバルなATMネットワークを利用して現地通貨を引き出すことができます。詳しくはwww.corporate.Visa.com（英語サイト）またはwww.Visa.co.jp（日本語サイト）をご覧下さい。