データ活用やDXがどんどん解る用語集　　　
PCI DSS

「PCI DSS」とは、「Payment Card Industry Data Security Standard」を略した言葉です。訳すと、クレジットカード業界データセキュリティ標準、となります。
クレジットカードは「お金」を取り扱うため、セキュリティ侵害による被害が発生しやすく、関連するITシステムは安全安心を重視した慎重な運用が求められます。そこで大手主要カード会社が、クレジットカードを取り扱うITシステムが守るべきセキュリティ標準を定めたものがPCI DSSです。

クレジットカードはご存知の通り、後払い式の決済手段として代金の支払いなどで広く使われているものです。現金での取引に対し、様々な利便性があるために広く使われていますが、クレジットカードを用いた取引が安全に行える状況を作るためには「安全安心なITの整備」がその前提として必要になります。

現金での取引では、いわば物自体に価値があるものを受け渡しするので、その場所・その時点で比較的シンプルに取引を完結させることができます（偽札かどうかの心配などはありますが）。クレジットカードで決済を行う場合には、その場所・その時点だけで完結せず、カード会社にそのカード番号でその金額で決済する旨を問い合わせ、決済できることを確認し、決済内容についてもカード会社側に記録してもらう必要などがあります。その場で済む現金取引とは違って、離れた場所にあるカード会社のITシステムとのやり取りを経る必要があります。

その過程でクレジットカード番号が盗まれたり漏洩したりすると、不正な取引がなされてしまい決済手段としてうまく機能できなくなってしまいます。そうならないためには決済時の一連のやり取り全体を保護する必要があります。カード決済をするその場所はもちろん、カード決済をするサーバ側、そしてその間の通信経路、およびITシステムの開発や運用に関わる人々全体も含めた「全体」を「安全安心」に保護しておく必要があります。

クレジットカードはインターネットが生まれるよりも前から世界に普及しています。当初より不正利用の問題はありましたが、インターネットが登場してからは特に不正利用の問題が深刻になっています。インターネット以前では、店舗にあるカード決済の端末と専用線などの「閉じられたIT」でのカード番号のやり取りでした。インターネットで決済手段として利用する場合、ECサイト自体はもちろん、カード決済を行うシステムも通信経路もインターネット上にあることが多くなり、大規模なカード番号の漏えいや不正利用が起こりやすくなりました。

そのような問題がある一方で、インターネット上での決済こそクレジットカードの活躍が期待される領域でもあり、クレジットカード自身の未来にとっても重要な市場でした。現実世界のようにカードが使えないからと現金支払いにはできませんし、その都度口座振り込みをして振込確認をしていたら、それだけで翌日までかかってしまいます。

どうすれば不正利用を減らせるでしょうか。カード決済に関わるITシステムや通信経路全体が安全に作られていれば、事故は発生しにくくなります。クレジットカードに関連するITに全般的に問題があるわけではなく、きちんと作られていないITシステムがあってそれが事故を起こしてしまうことが問題であり、それを防ぐ必要があります。しかし、一般の利用者はもちろんカード会社にとっても、それぞれのITシステムが安全に作られているかどうかを個別に確認することは現実的には困難です。

そこでカード会社は、インターネット上でカード番号を取り扱うITシステムに対する「安全の共通基準」を作り、その基準を守って開発・運用されているITシステムであるかどうかで判断をすることにします。

クレジットカード会社は一社だけではありません。最初、カード会社各社がそれぞれ「安全の基準」の整備をはじめましたが、ITシステムを開発運用する側からすると、各社の基準にそれぞれ別途対応することになり非効率で、それではインターネットでのカード決済利用の普及を妨げてしまいかねませんでした。

そこで、クレジットカードの世界的大手五社（American Express、Discover、JCB、MasterCard、VISA）が共同で共通基準を設けます。そのための組織「PCI SSC」（Payment Card Industry Security Standards Council）を設立し、クレジットカードによる決済に関わるITシステムや組織が守るべき共通基準を「PCI DSS（Payment Card Industry Data Security Standard）」として取りまとめます。

これにより、クレジットカード決済において、カード番号などのカード会員情報の「格納、処理、転送」に関わる組織や人が守るべきことが明確にされました。

ITシステムそのものだけではなく、運用体制（ITシステムで利用しているIT製品の脆弱性対応で適切な対応がとられる仕組みがあるかなど）、通信経路での安全確保、データが暗号化され保護されて保管されること、保管してはいけないデータは保管されないこと、データのアクセスできる人が制限されアクセス記録も残されるなど、そこに関わる組織や人によって守られているべきことも定められています。

またPCI DSSは定期的に更新され時代に合わせてバージョンアップしており、2004年に「PCI DSS 1.0」が策定され、執筆時点の現在では2022年3月31日に発行された「PCI DSS 4.0」が最新のバージョンとなっています。

安全安心な決済サービスを見分ける基準になる

インターネット上でカード決済システムを利用する際、利用サービスの選定や取引先を選ぶ判断基準になりえます。PCI DSSへの準拠状況が確認できれば、事故などを起こす可能性が高いか低いかの判断材料にできます。

自社で決済システムを開発・運用する際に必要になる

自社でECサイトを開発・運用している場合、あるいは自社でECパッケージソフトウェアを開発するなど決済システムにカード決済機能を持たせたいのであれば、PCI DSSの取得が必要になります。自社製品が十分に準拠していなければ、カード決済システムに関連するITシステムで利用してもらえないプロダクトになる可能性もあります。

ITシステム一般の安全安心の目安になる

PCI DSSはクレジットカード情報を対象として策定されており、他の用途や基準を意図したものではありませんが（例えば、個人情報保護の観点での基準にはなっていない）、PCI DSSへの準拠状況は、そのITシステムがカード番号の取り扱いが許容されるくらいの体制で運用されていると考える判断材料にできます。

あるいは、自社のITシステムをセキュアに運用するに際して、何をすべきかを考える参考とすることもできます。

ただしPCI DSSへの準拠は、コストがかかるだけでなく、そのITシステムに関連する様々な活動を広範に、例えば新機能開発などについてもPCI DSSに準拠した制限下で行うことになるため、発生する多数の手続きなどによりコスト面やビジネススピード面で劣ってしまう可能性もあります。自社でどうかかわるのかはよく考える必要もあります。

自社システムで準拠が求められるような状況ではどうしたらよいでしょうか。PCI DSSに準拠することは立派な取り組みである一方、取り組みは容易ではなく、さらには対応にかかるコストや手間も無視できないところがあります。

「PCI DSS準拠済み」のプロダクトやサービスを活用する

自社でシステム開発をするとき、全てをゼロからスクラッチ開発するケースは多くないはずです。開発で利用するミドルウェアや各種ツール、クラウドサービスなどには、PCI DSS準拠が配慮されたものがあります。

PCI DSS準拠済みのクラウドサービスや、準拠が配慮されたプロダクトを活用することにより、カード番号などを含んだデータの利用が容易になることや、自社で対応する手間や範囲を縮減することができることがあります。

⇒HULFT Multi Connect Service | セゾンテクノロジー

PCI DSSに準拠した、インターネット経由での様々なプロトコルのファイル転送基盤を提供するサービスです。自社で転送基盤を開発することなく、自社システムから接続するだけでセキュアなファイル転送が可能になります。PCI DSSに準拠した運用や監査の対応も行います。

INS回線などの専用回線を用いていた通信経路を自社で対応せずにインターネット経由に変更する手段として利用できます。HULFT、全銀TCP/IP広域IP網、SFTP、AnserDATAPORT接続、閉域ネットワークへのワンストップでの対応支援など、様々なプロトコルや回線でのでの接続にも対応しています。

外部のカード決済機能を利用し、自社システムからは「つなぐ」

各社でデジタル活用が進められる昨今、自社でECサイトを持ちたいと思い、サービスの内製を進めている組織も、もしかしたらあるかもしれません。当然にカード決済機能は必要だということになり、そう思ったけれどもPCI DSS対応にコストや手間がかかることを知って、どうするか困ってしまうこともあるかもしれません。

そのような場合に、自社でのPCI DSS対応を避ける方法があります。カード決済機能をも持っているECサイトそのものを提供しているクラウドサービスを利用すれば解決しますし、ECサイトは自社開発するけれども、カード決済機能部分については外部サービスを利用して自社システムからはそれを呼び出すだけに留める方法をとれば、自社での対応をせずに済みます。

クラウド時代のIT利活用のコツは「自社で作らないこと」です。様々なクラウド、自社の既存のシステムなどをうまく活用し、それらをうまく「つない」で組み合わせることで自社に必要なITシステムを効率的かつ迅速に実現することができます。

さらには昨今、Fintechと呼ばれるような各社の様々な取り組みが進んでいます。カード決済以外の決済手段が使われるようになり、暗号資産での決済など従来なかった決済手段も出現しつつあります。自社で作らず様々な外部サービスをうまく活用するやり方は、このような決済の世界そのものの変化にへの対応も容易にします。

⇒データ連携プラットフォーム DataSpider Servista | セゾンテクノロジー

EAIやETLの「つなぐ」考え方をうまく活用してください。PCI DSSに自社では対応せずとも、外部サービスとうまく「つなぐ」ことで同じ機能を持つシステムを作り上げることも可能です。「DataSpider」なら、GUIだけで多種多様なシステムやデータ、クラウドを連携することができます。iPaaSの「HULFT Square」なら、「つなぐ」機能を自社運用不要なクラウドサービスとして利用することもできます。

• EAI
  • -システム間をデータ連携して「つなぐ」考え方で、様々なデータやシステムを自在につなぐ手段です。IT利活用をうまく進める考え方として、クラウド時代になるずっと前から、活躍してきた考え方です。
• ETL
  • -昨今盛んに取り組まれているデータ活用の取り組みでは、データの分析作業そのものではなく、オンプレミスからクラウドまで、あちこちに散在するデータを集めてくる作業や前処理が実作業の大半を占めます。そのような処理を効率的に実現する手段です。
• iPaaS
  • -様々なクラウドを外部のシステムやデータと、GUI上での操作だけで「つなぐ」クラウドサービスのこと。
• SaaS
  • -一般的に「クラウド」と言ったときにイメージされる、ソフトウェアの利用をサービスとして提供する取り組みのこと。

オンプレミスにあるITシステムからクラウドサービスまで、様々なデータやシステムを自在に連携し、IT利活用をうまく成功させる製品を実際に試してみてください。

当社で開発販売しているデータ連携ツール「DataSpider」は長年の実績がある「つなぐ」ツールです。データ連携プラットフォーム「HULFT Square」はDataSpiderの技術を用いて開発された「つなぐ」クラウドサービスです。

通常のプログラミングのようにコードを書くこと無くGUIだけ（ノーコード）で開発できるので、自社のビジネスをよく理解している業務の現場が自ら活用に取り組めることも特徴です。

DataSpider / HULFT Squareの「つなぐ」技術を試してみてください：

簡易な連携ツールならば世の中に多くありますが、GUIだけで利用でき、プログラマではなくても十分に使える使いやすさをもちつつ、「高い開発生産性」「業務の基盤（プロフェッショナルユース）を担えるだけの本格的な性能」を備えています。

IT利活用の成功を妨げている「バラバラになったシステムやデータをつなぐ」問題をスムーズに解決することができます。無料体験版や、無償で実際使ってみることができるオンラインセミナーも開催しておりますので、ぜひ一度お試しいただけますと幸いです。

 

「HULFT Square」で貴社のビジネスが変えられるか「PoC」をしてみませんか：

貴社のビジネスで「つなぐ」がどう活用できるのか、データ連携を用いた課題解決の実現可能性や得られる効果検証を行ってみませんか？

• SaaSとのデータ連携を自動化したいが、その実現可能性を確認したい
• データ利活用に向けて進めたいがシステム連携に課題がある
• DXの実現に向けてデータ連携基盤の検討をしたい