【利用者編②】何をもって安全？PCIDSSを知るべし！

＜利用者編＞
【利用者編①】クレカってどうなってるの？決済の仕組みを詳しく紹介！

---------

決済の仕組みを知り、ブラックボックス化されていたクレジットカード決済の仕組みについては、ある程度理解いただけたかと思います。
そのうえで、「それでも不安だ」、「クレジットカードはやはりリスクだ」、と思われた方もいらっしゃると思います。

クレジットカードを使っていてリスクがあるのは事実です。
具体的なリスクの1つは『情報漏えい』ですね。

情報漏えいとはすなわち「クレジットカード番号・有効期限・セキュリティコードなどクレジットカード決済をする上で必要となる情報」の流出であり、『情報漏えい＝第三者が自分のクレジットカードで買い物できてしまう」ことです。

「クレジットカード　漏えい」で調べると凄くたくさんの企業が情報漏えいしていることがわかります。
最近では、東京都の税金をクレジットカードで支払った人たちのクレジットカード情報が漏えいしました。
情報漏えいするようなところに私たちの大切なクレジットカード情報を伝えたくないですね。

一方、システムをやっていた側からすると、絶対に情報漏えいしないシステムを作ることはできません。
それは次々と現れる天才たちを止めることができないからでもありますし、脆弱性の絶対ないシステムを作ることはできないからでもあります。

では、私たちクレジットカードを使いたい人たちはどうすればよいのでしょうか。
現段階で最善と言える策は『クレジットカード情報を安全に管理している企業』を選んでクレジットカード決済を行うことです。

安全に管理している企業をはかる1つの指針となるのが、『PCI DSS』という資格です。

PCI DSSはクレジットカード業界のセキュリティ基準で、クレジットカード情報を安全に管理していると認定機関からお墨付きを貰った企業のみが掲示することができる資格です。

PCI DSSでは6つの目的からなる12の要件を定めています。

さらにこの要件1つに対して100個近い審査項目があるなど、PCI DSSの認定を受けるまでに厳しい審査が行われます。
この審査を行うのはQSA(Quorified Security Assessor)と呼ばれる審査機関です。
QSAは訪問審査を含む、PCI DSSの遵守状況を確認・判定します。

また、ネットワークスキャンも実施が必要です。
外部に接しているサーバ機器やネットワーク機器、アプリケーションに対して、PCI SSC認定のASV（Approved Scanning Vendor）が、PCI DSSで要求されているセキュリティ要件を満たしているかを年4回チェックします。

こうした厳しい審査を経ているからこそ、安心してクレジットカード情報を預けることが可能となります。

ただし、このPCI DSSですが、注意すべきは『準拠範囲』です。
PCI DSSを名乗る業者も多数いますが、『完全準拠』はしておらず、『準拠（一部準拠）』として記載している場合もあります。

完全準拠：クレジットカードの取扱に関わる全てのシステムについてPCI DSSに準拠
準拠（一部準拠）：クレジットカードの取扱に関わる一部システムについてPCI DSSに準拠

以下、私が知っている範囲でよくある一部準拠のケースを記載します。

【ケース１】クレジットカード情報登録時、特定の方法の場合のみ準拠
クレジットカード番号を画面上に打ち込みカード決済する場合はPCI DSSに準拠しているが、画面の下の電話番号に電話をかけてクレジットカード決済をする場合はPCI DSSに準拠していないケース

このケースの場合、記載してある部分に関してはPCI DSSに準拠していますので、なるべく準拠している部分でクレジットカード情報を登録しましょう。
　
【ケース２】クレジットカード情報を様々なシステムで保持しており、その一部が準拠していない
クレジットカード番号を登録するシステムや継続的に支払うシステムは準拠しているが、個人情報の一部としてクレジットカード情報を企業も保持しており、企業のシステムはPCI DSSに準拠していないケース

このケースの場合はなかなか判別がつきません。
問い合わせなどをしてみることが望ましいでしょう。
　　
さて、PCI DSSに完全準拠した状態でクレジットカード情報が漏えいすると、どうなるのでしょうか？
先日、東京都のクレジットカード決済サイトからクレジットカード情報・有効期限が流出したと報道がありました。

このクレジットカード決済サイトは『GMOペイメントゲートウェイ株式会社』というクレジットカード決済を専門に扱う企業が作成しており、当社はPCI DSSに完全準拠しております。

PCI DSSに完全準拠した企業がクレジットカード情報を漏えいするとどうなるのでしょうか？
ちょうど良い例が東京都と思い、知り合いのQSAに聞いてみました。

（こちらがGMOペイメントゲートウェイ社が報道しているサイトです。）

知り合いのQSA曰く、実は、『正確なクレジットカード番号』は流出していないとのことです。
PCI DSSのシステム要件の中には、『クレジットカード番号は暗号化すること』、そして『暗号キーは別のテーブルに格納すること』があります。
そのため、今回流出したものは『暗号化されたクレジットカード番号』となります。
暗号化キーは流出していないようでしたので、電話やメール等で「クレジットカード番号やセキュリティコードを教えてください」と連絡があったと考えられます。

ただし、今回のケースでは、状況の把握より先にカード会社がカード再発行などを実施したため、結果として情報流出者のクレジットカードは変更された形となっています。

実際にQSAが集まる会議でもこの議題はあがっているようですが、GMOペイメントゲートウェイ株式会社の担当QSAとしては、「要件はすべて満たしていた」と発言していたようです。
他QSAからは疑問の声もあったようですが。

ちなみに、顧客番号（電話番号など）はシステムで保持しているケースがありますが、PCI DSSの要件対象ではありません。
そういった個人情報が情報漏えいする可能性もありますので、入力内容には極力注意したほうがよいですね。

安全な決済についてはここまでです。
どういったところへなら自分の大切なクレジットカード番号を預けてよいか、おわかりいただけたのではないでしょうか。

コメント、質問などありましたらぜひ記載ください。
次回以降に反映していきます。

『スキ』を押していただけると有難いです。