通販サイトをはじめとした様々なサービスで、クレジットカード情報を入力します。
そのクレジットカード情報は、どうやって守られているのでしょうか?
今回は、クレジットカード決済のセキュリティに関わる大事な内容です。
「こんなことが進められているんだ」と知っておいて、どんなことを気を付ければよいかのお話です。ぜひご一読ください。
「PCI DSS」
耳慣れない言葉かもしれませんが、「Payment Card Industry Data Security Standard」(ペイメントカード業界データセキュリティー基準)の頭文字をとったものです。
ペイメントカードというのは、国際カード会社が発行するクレジットカードと、デビッドカードやプリペイドカードの総称のことです。
インターネット上でのECマーケットの拡大に伴い、これらのカードの不正利用などの被害も増大してきました。
各カード会社は独自にカードセキュリティ対策を行ってきたのですが、増大する一方の被害に対して、国際カード会社5社(Amex、VISA、MasterCard、JCB、Discover)が共同で団体「PCI SSC(Payment Card Industry Security Standards Council)」を設立し、クレジットカード情報保護のための世界統一のセキュリティ基準を設けました。それが「PCI DSS」です。
日本では、日本カード情報セキュリティ協議会(JCDSC)が中心となって普及・啓蒙に努めています。
現在のクレジットカード情報を取り扱う各社では、「クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画2018」に基づいて、下記の方針で対策が進められています。
・各サービス会社は、カード情報を持たないようにするか、カード情報を持つ場合はPCI DSSに準拠する
・カード会社や決済代行会社はPCI DSSに準拠する
このようにPCI DSSは、ECサイトなどのサービス運営者側やカード会社、決済代行会社が自社サービスに適用させるものなのですが、私たち消費者側でもチェックできる部分があります。
それは「認証」部分です。
PCI DSSでは、ユーザー認証の部分について規定しています。
その規定を読み解くと、下記のようになっていないサービスは「アヤしい・・・」ということです。
・ログインには、記憶情報・所有物情報・生体情報のいずれかが必要
・利用開始時に初期パスワードがあった場合、初回ログイン時にユーザー側で強制変更
・パスワードは、7文字以上・英字と数字の両方を含むものにする(もしくはそれと同等の強度)
・パスワードは、90日間で少なくとも1回変更する
・新しく設定されたパスワードが、直近4つのパスワードのいずれかと同じだった場合、不可とする
・何もしない状態が15分を超えたらログアウトする
・6回以下のログイン失敗でロックアウトする
・ロックアウト解除までの期間は、30分間もしくは管理者が解除するまで
・認証情報の変更の際には本人確認を実施
・契約終了したアカウントは、ただちに削除
・ID削除時には、使用していた認証用機器は返却か無効化
・一定期間使われていないアカウントを、90日ごと確認し、削除する
・認証情報は暗号化して送信・保存
ユーザー側では採用されているかわかりにくい内容尾ありますが、パスワード作成時のルールなど、すぐにわかるものもあります。
クレジットカード情報という重要な情報を預けるのですから、きちんとチェックしておきましょう!
PS.
PCI DSSは、かなり細かく、厳格な規定です。
企業のITシステムやサービスのセキュリティポリシーを作る際にも、重要な部分にはこれを参考にするとよいでしょう。