アドバイザリー

PCI DSS準拠支援

クレジットカード情報の管理は万全ですか?

クレジットカード情報を安全に取り扱うことを目的に策定されたPCI DSSに準拠することにより、企業価値(信用、ブランド)の向上はもちろんのこと、具体的にセキュリティポリシーを定義することでサイバー攻撃による被害のリスクを低減することができます。

PCI DSS準拠の必要性

2020年のオリンピック・パラリンピック東京大会の開催などによる訪日外国人のクレジットカード利用機会増加を踏まえ、経済産業省はクレジットカード情報を取り扱う加盟店に対し、PCI DSSへ準拠することを推進する「クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画」を発表しました。

クレジットカード情報の安心・安全を確保することは、企業のリスクを低減するだけでなく企業価値(信用、ブランド)の向上にもつながることから、加盟店にとってPCI DSSの準拠は不可欠であると考えられます。

加盟店(業務形態別)のPCI DSS対応期限

加盟店(業務形態別)のPCI DSS対応期限

(出典:経済産業省「クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画」を基に作成)

PCI DSSとは

PCI DSS (Payment Card Industry Data Security Standards)とは、国際カードブランド5社(American Express、Discover、JCB、Master Card、VISA)により設立されたPCI SSCが、加盟店やサービスプロバイダにおいてクレジットカード情報を安全に取り扱うことを目的として策定したセキュリティ基準です。

PCI DSSでは、技術面(インフラ・開発)、運用面および情報セキュリティポリシーの整備を含む6つの目的に沿った12要件への包括的な対応が必要になります。

PCI DSSの6つの目的と12要件

PCI DSSの6つの目的と12要件

クレジットカード取引を取り巻く環境の動向

昨今、クレジットカード決済にかかわる加盟店のシステムから、SQLインジェクションなどの手口により、数百万件規模のカード情報が漏えいする事件が多発しています。

クレジットカード情報の漏えいが発生した場合、企業は業務停止リスク、信用低下リスク、事後対策コスト(個人への補償、フォレンジック対応、アクワイアラーへのペナルティなど)、株価下落リスク、損害賠償訴訟リスクなど多大なダメージを被ることになります。PCI DSSに準拠することは、これらのリスクの低減に有効な施策となります。

当法人のサービス実績と特長

大手企業をはじめとする、多くのコンサルティング実績を基にPCI DSS準拠をご支援します。EYのグローバルナレッジの活用ならびに審査機関(QSA)との協力により、リスクベースのアプローチでオーバースペックによるコスト高を回避します。

当法人のサービス実績と特長

対象範囲特定のアプローチ(イメージ)

対象範囲特定のアプローチ(イメージ)

アクションプランのアプローチ(例)

アクションプランのアプローチ(例)

PCI DSS準拠までの流れとご支援内容

PCI DSS準拠までの流れとご支援内容
EY - Download PCI DSS準拠支援サービスのご案内

PCI DSS準拠支援サービスのご案内

Download