PCIDSS とは、Payment Card Indutry Data Security Standard の略で、
国際カードブランド 5 社 （JCB, American Express, Discover, MasterCard, VISA） が
カードビジネス関連事業者向けに、機密として扱うべきカード会員データや、
取引情報の保護に関してビジネス上の最低基準を確立するために策定した基準。

PCI Security Standards Council が策定・維持管理・普及を行い、
2007 年 1 月よりバージョン 1.1 となった。
PCIDSS 監査人の認定も PCI Security Standards Council が行う。

セキュリティに関連する基準としては ISMS がよく知られているが、
ISMS はセキュリティのレベルを保証ためのものではない。
具体的に何をどこまでやれば良いかを規定するものではない。
それに対して PCIDSS は、具体的なセキュリティに関する施策が規定されている。

	ISMS	PCIDSS
目的	組織の情報セキュリティマネジメントとして PCDA サイクルを機能させること	カード会員情報などの重要情報を保護すること
リスク分析	自己で基準を設定し自己評価する	客観的な基準により評価する
分析結果の 対応策	自ら検討して決定する	満たさなければならない要件が 具体的に記述されている

米国の多くの州ではカードの不正利用による被害の増大を受け、
PCIDSS 準拠の義務化法案が施行されてきている。

テキサス州 （2007 年 5 月施行）
マサチューセッツ州 （2007 年 2 月施行）
ミネソタ州 （2007 年 4 月施行）
カリフォルニア州 （2007 年 5 月施行）

これにより PCIDSS に準拠せずに事故を起こした場合には
罰金などのさまざまな罰則が適用される。

日本でも PCI Security Standards Council がカード情報を取り扱う業者に対して
準拠するよう働きかけている。

金融庁の出している
「金融分野における個人情報保護に関するガイドラインの安全管理措置等についての実務指針」
における 「実施体制の整備に関する技術的安全管理措置」 が
PCIDSS とほぼ同様の内容となっている。
今後日本でも米国と同様に法制面に引用される可能性が高いと思われる。

個人情報の保護に関するガイドラインについて

PCIDSS の要件