PCI DSSとは | qualva完全準拠。決済の安全性を証明するカード業界のセキュリティ基準

<目次>

PCI DSSとは

PCI DSS(Payment Card Industry Data Security Standard)は、クレジットカード会員データ(カード情報)を安全に取り扱うために策定された、クレジットカード業界のグローバルセキュリティ基準です。

PCI DSSがスタートしたのは2013年12月。現行の最新バージョンはv3.2.1(2019年10月現在)です。また、2020年後半以降にv4.0の公開が予定されています。

PCI DSSの管理・運用を行っているのは、国際カードブランド5社が共同設立したPCI SSC(Payment Card Industry Security Standards Council)です。国際カードブランド5社とは、American Express、Discover、JCB、MasterCard、VISAのことです。

PCI DSSが策定されるより以前、カード情報を守るためのリスク管理プログラムは、各国際カードブランドがそれぞれ独自に用意して運用していました。

しかし、一つの加盟店(クレジットカード会社と契約をした小売店)で複数のカードが使用できる時代に、すべてのブランドの要求に対応しなくてはならない状況は、加盟店に対して大きな負荷を強いる結果となっていました。また2000年代には、米国をはじめとした世界中で、スキミングやインターネットの不正アクセスによるカード情報の大量盗難や流出が続発する事態となっていました。

こうした流れを受けて国際カードブランド5社が協力し、世界的に統一されたセキュリティ対策フレームワークとして策定したのが、PCI DSSだと言えます

PCI DSS認定を取得するメリット

PCI DSS認定の対象となるのは、クレジットカード会員データを「管理、処理、または伝送する」すべての組織です。

PCI DSS認定の取得することには次のようなメリットがあります。

  • 国際的で最新のセキュリティ基準に則ってカード情報を取り扱っていて、高いセキュリティレベルが保たれていることを示すことができる。
  • 「改正割賦販売法」による規定を遵守した上でカード情報を取り扱うことができる。
  • 信用やブランドなど企業価値がアップする。
  • 悪意ある者による不正アクセスからサイトを保護し、サイトの改ざん・悪用・情報盗用などのリスクを減らすことができる。

ただし、加盟店(EC事業者)の場合はクレジットカード決済を導入していたとしても、「カード情報の非保持化」が実現できていればPCI DSSに準拠する必要はありません。その場合は、PCI DSS認定を取得している決済処理代行事業者が、「非通過型決済」などの方法でカード情報を取り扱います。

 

PCI DSS認定の取得方法

PCI DSS認定を取得するには、カード情報の取り扱い形態や規模によって、次の3つのうちいずれかの方法で審査を受けます。

1.訪問審査

PCI国際協議会によって認定された審査機関(QSA=Qualified Security Assessor)の訪問による審査を受けて、認証を得る方法です。

カード発行会社など、情報の取り扱い規模が大きな事業者に要請されます。

2.サイトスキャン

PCI国際協議会による認定を受けたベンダー(ASV=Approved Scanning Vendor) が提供するスキャンツールを使って、四半期に1回以上の点検を受け、認証を得る方法です。ウェブサイトの脆弱性について精査し、サイトから侵入されて情報を盗み取られることがないかどうかをチェックします。

カード情報の取り扱いが中規模、およびインターネットに接続している事業者に必須とされる方法です。

3.自己問診

PCI DSSの要求事項に基づいた、アンケート形式によるチェック項目に回答する方法です。すべて「Yes」であれば準拠していると認められます。

カード情報取扱い件数の比較的少ない、一般加盟店などの事業者向けの方法です。

日本のECサイトのPCI DSS事情

日本では2018年6月1日、「割賦販売法の一部を改正する法律」(改正割賦販売法)が施行されました。

改正割賦販売法では、クレジットカードを取り扱う加盟店に対し、「クレジットカード番号等の適切な管理」や「クレジットカード番号の不正利用の防止」のためのセキュリティ対策をすることを義務付けています。

中でも、EC事業者の場合に求められているのが、「カード情報の非保持化」または「PCI DSS準拠」です。

カード情報の非保持化とは、加盟店が保有する機器・ネットワークにクレジットカード情報を保存、処理、通過しないことを指します。この非保持化をしない場合は、加盟店はPCI DSSに準拠しなければなりません。

しかし現実的には、EC事業者がPCI DSSの認証を取得するには多大なコストと時間がかかります。

そこで現在、日本の多くのEC事業者は、「PCI DSS準拠」ではなく、PCI DSSに準拠した決済処理代行事業者が提供する決済システムを利用することで実現できる「カード情報の非保持化」の方を選択しています。

 

qualvaはPCI DSS認証に完全準拠

qualva(クオルバ)は、チャットボットと呼ばれるサービス     です。ECサイトに訪れたユーザーとシナリオに基づくチャット形式による対話を行うことで、ユーザーのフォーム入力をアシストし、コンバージョンを促進するフルオートメーション型ウェブ接客ツールです。

このqualvaを利用すれば、チャット形式による情報のやり取りをしながらユーザーを導き、クレジット決済による商品購入にまで到達することができます

qualvaで提供されるクレジットカード決済の仕組みは、カートシステムなどによる通常の決済と基本的に変わりません。カード番号などの入力フォームをチャット形式でユーザーに順次示して入力を促し、必要な情報を取得して決済までを完結します。

そこでPROFESSYでは、EC事業者がqualvaを導入する際、自社でPCI DSSを取得する必要がなく、qualva単体でも簡単にクレジットカード決済が行え、しかもカード情報の非保持化が実現できる仕組みを作るべきだと考えました。同時にカード情報を守るためのセキュリティもこれまで以上に強化し、安心してqualvaを利用していただける環境を作り上げるという目標を定めることとしました。

そして、2016年12月9日の改正割賦販売法交付に合わせて、2017年11月からPCI-DSSの取得準備を開始。2018年3月にPCI-DSS審査に合格しました。改正割賦販売法は同年6月1日に施行されています。なお現在、qualvaはPCI DSSの最新バージョンであるv3.2に完全準拠しています。

 

国内のチャットボットで唯一PCI DSSを取得しているのがqualva

現在のところ、qualvaは国内でPCI DSSを取得している唯一のチャットボットとなっています(2019年10月現在)。

qualvaは、とりわけ特定商品に興味を持ってECサイトに訪れたユーザーに対し、アンケートなどを交えながらチャット形式で入力を促し、離脱を抑えつつナビゲートして、CVR(コンバージョン率)を高めることを得意とするツールです。対話をしながら、画面遷移を行うことなくクレジットカード決済にまで至ることができるのも、ほかのチャットボットにはない大きな特長です。また、既存のECカートとの連携も可能です。

それだけに、セキュリティ対策の強度は非常に高レベルに設定されています。PCI DSSを取得しているだけではなく、当社独自のデータ保持機能によってもカード情報を安全に管理し、また個人情報も厳格な体制のもと保管・管理しています。

qualvaはPCI DSS完全準拠し、セキュリティ強化と情報管理にも注力した信頼性の高いスーパーチャットボットです。ECサイトの購入や、問い合わせのフォームなどのCVR(コンバージョン率)を高めたいと思っている方はぜひご相談ください。