最終更新日:2026年5月20日
sg sg-security-law it_security_operations vendor_management
まず結論
PCI DSS(Payment Card Industry Data Security Standard)は、クレジットカード情報を安全に扱うために、カード業界が定めたセキュリティ基準です。
SG試験では「誰に適用されるか」と「何を守る基準か」を判断させる問題として出題されます。
直感的な説明
ネットショップや店舗でクレジットカードを使うとき、
「このお店、大丈夫かな?」と不安になることがありますよね。
PCI DSSは、
👉「カード情報を扱う会社は、このルールを守ってね」
という共通ルールです。
つまり、
- 店舗
- ECサイト
- 決済代行会社
など、カード情報に触れるすべての組織に求められる“最低限の安全基準”です。
定義・仕組み
PCI DSSは、VisaやMastercardなどのカードブランドが共同で策定した
クレジットカード情報保護のための国際的なセキュリティ基準です。
ポイントは次の3つです。
① 対象
- クレジットカード情報を保存・処理・送信するすべての組織
(加盟店・決済代行業者など)
👉 企業の規模に関係なく適用される
② 守る対象
- カード番号
- 有効期限
- セキュリティコード など
👉 「カード情報そのもの」を守る基準
③ 内容(考え方)
細かい技術よりも、次のような基本対策が中心です。
- ネットワークの保護(ファイアウォールなど)
- アクセス制御(必要最小限の権限)
- ログの監視
- 脆弱性管理
- セキュリティポリシーの整備
👉 ISMSのように広い概念ではなく、
「カード情報に特化した具体的な運用ルール」なのが特徴です。
どんな場面で使う?
使うべき場面
- ECサイトでクレジットカード決済を導入する
- 決済システムを外部委託する
- カード情報を社内システムで扱う
👉 カード情報を扱うなら必ず関係する
注意が必要な場面
- 「うちは小規模だから関係ない」
- 「決済を外注しているから関係ない」
👉 どちらも誤りです。
委託していても責任は残る(委託先管理が重要)
よくある誤解・混同
❌ ISMSと同じもの
→ ⭕ PCI DSSは「カード情報に特化した業界基準」
ISMSは「組織全体の情報セキュリティ管理」
❌ 大企業だけ対象
→ ⭕ 小規模な店舗・ECサイトでも対象
❌ 外部委託すれば対応不要
→ ⭕ 委託先も含めて管理責任がある
👉 SG試験では
「委託したので責任はない」と書かれていたら誤り
❌ 脆弱性評価の基準(CVSS)と同じ
→ ⭕ PCI DSSは「運用ルール」
CVSSは「脆弱性の深刻度を数値化する指標」
👉 “守るルール”と“評価する指標”の違いが重要
確認問題(SG試験対策)
PCI DSSの説明として最も適切なものはどれか。
- ア. すべての業種に共通する労務管理の法令要件である。
- イ. クレジットカード会員データを扱う事業者向けのセキュリティ基準である。
- ウ. 無線LAN暗号化方式の技術仕様そのものである。
- エ. インシデント報告の書式だけを定めたガイドである。
▶ クリックして答えと解説を見る(ここを開く)
正解:イ
解説
- ア:労務法令ではありません。
- イ:カード情報保護のための業界基準です。
- ウ:暗号方式そのものを定義する規格ではありません。
- エ:報告書式限定ではなく管理策全般を扱います。
👉 判断ポイント
PCI DSSは「カード会員データ保護の実務基準」。
まとめ(試験直前用)
- PCI DSS=クレジットカード情報保護の業界基準
- 対象は「カード情報を扱うすべての組織」
- 小規模でも、委託していても対象
- ISMSとは別物(より具体・対象限定)
- 「責任がない」と書かれていたら誤りと判断する
公式情報・参考リンク
- PCI Security Standards Council(PCI SSC): PCI DSS の公式ページ
- PCI Security Standards Council(PCI SSC): Document Library(公式ドキュメント一覧)
※試験対策では、版数や細かな要件番号を暗記するよりも、PCI DSSが「カード会員データを扱う組織向けのセキュリティ基準」である点を優先して整理すると判断しやすくなります。