sg sg-security-law it_security_operations vendor_management
まず結論
PCI DSS(Payment Card Industry Data Security Standard)は、クレジットカード情報を安全に扱うために、カード業界が定めたセキュリティ基準です。
SG試験では「誰に適用されるか」と「何を守る基準か」を判断させる問題として出題されます。
直感的な説明
ネットショップや店舗でクレジットカードを使うとき、
「このお店、大丈夫かな?」と不安になることがありますよね。
PCI DSSは、
👉「カード情報を扱う会社は、このルールを守ってね」
という共通ルールです。
つまり、
- 店舗
- ECサイト
- 決済代行会社
など、カード情報に触れるすべての組織に求められる“最低限の安全基準”です。
定義・仕組み
PCI DSSは、VisaやMastercardなどのカードブランドが共同で策定した
クレジットカード情報保護のための国際的なセキュリティ基準です。
ポイントは次の3つです。
① 対象
- クレジットカード情報を保存・処理・送信するすべての組織
(加盟店・決済代行業者など)
👉 企業の規模に関係なく適用される
② 守る対象
- カード番号
- 有効期限
- セキュリティコード など
👉 「カード情報そのもの」を守る基準
③ 内容(考え方)
細かい技術よりも、次のような基本対策が中心です。
- ネットワークの保護(ファイアウォールなど)
- アクセス制御(必要最小限の権限)
- ログの監視
- 脆弱性管理
- セキュリティポリシーの整備
👉 ISMSのように広い概念ではなく、
「カード情報に特化した具体的な運用ルール」なのが特徴です。
どんな場面で使う?
使うべき場面
- ECサイトでクレジットカード決済を導入する
- 決済システムを外部委託する
- カード情報を社内システムで扱う
👉 カード情報を扱うなら必ず関係する
注意が必要な場面
- 「うちは小規模だから関係ない」
- 「決済を外注しているから関係ない」
👉 どちらも誤りです。
委託していても責任は残る(委託先管理が重要)
よくある誤解・混同
❌ ISMSと同じもの
→ ⭕ PCI DSSは「カード情報に特化した業界基準」
ISMSは「組織全体の情報セキュリティ管理」
❌ 大企業だけ対象
→ ⭕ 小規模な店舗・ECサイトでも対象
❌ 外部委託すれば対応不要
→ ⭕ 委託先も含めて管理責任がある
👉 SG試験では
「委託したので責任はない」と書かれていたら誤り
❌ 脆弱性評価の基準(CVSS)と同じ
→ ⭕ PCI DSSは「運用ルール」
CVSSは「脆弱性の深刻度を数値化する指標」
👉 “守るルール”と“評価する指標”の違いが重要
まとめ(試験直前用)
- PCI DSS=クレジットカード情報保護の業界基準
- 対象は「カード情報を扱うすべての組織」
- 小規模でも、委託していても対象
- ISMSとは別物(より具体・対象限定)
- 「責任がない」と書かれていたら誤りと判断する
🔗 関連記事
- アクセス管理とは?特権IDとneed-to-knowで権限を適切に制御【情報セキュリティマネジメント】
- 監査ログとは?不正検知と追跡の基本【SG試験】
- 認証・アクセス制御まとめ|SSO・MFA・ゼロトラストを体系整理【情報セキュリティマネジメント】
- 認証方式とは?3要素と多要素認証を整理【SG試験】
- アクセス制御(認可)とは?認証との違いを整理【SG試験】