【PCI DSS準拠を目指すクレジットカード加盟店必見】なにから始める？SAQ（自己問診）！

日本では「割賦販売法」とその実務上の指針である「クレジットカード・セキュリティガイドライン」において、クレジットカード加盟店はクレジットカード業界の国際セキュリティ基準であるPCI DSSへの準拠、または、クレジットカード情報の非保持化への対応が必須となっています。

PCI DSSへの準拠には、QSA（Qualified Security Assessor：認定セキュリティ評価機関）による審査を受ける方法もありますが、年間の決済量が一定未満の加盟店においては、SAQ（Self-Assessment Questionnaire：自己問診）による準拠も可能となっています。

本記事ではSAQによるPCI DSS準拠を検討している加盟店に向けて、何から始めればいいのか？という疑問を解決するために、SAQによる準拠が可能となる基準やSAQタイプ、さらにSAQを実施するにあたって考えられる課題について解説します。

PCI DSSに準拠するにはQSAの審査で準拠を確認する方法と自社の自己問診（SAQ）で準拠を確認する方法があります。

QSAによる審査では、資格を有する審査員によりPCI DSSの全要件を対象にエビデンスの確認やインタビュー、訪問審査などの準拠評価がおこなわれ、準拠が認められるとAOC（準拠証明書）と詳細な評価結果を記載したROC（準拠レポート）が発行されます。

一方SAQでは、準拠評価にあたって審査員の関与は任意となっており、PCI DSS要件への準拠状況を自社で確認し、準拠を自己証明することが可能です。
また、ROCとは異なりSAQの準拠レポートは詳細な評価結果の記載は不要で、対応状況をチェックボックスで回答する形式で作成します。
※サービスプロバイダ向けのSAQにおいては全要件への評価概要の記述が必要になります。

加盟店のSAQによる評価は、特定の「加盟店レベル（各国際ブランドが定義）」の場合に認められている為、PCI DSS準拠を計画するにあたり、自社の「加盟店レベル」を把握しておく必要があります。
また、加盟店のSAQは加盟店の業態毎にタイプが分かれており、それぞれで対象となるPCI DSS要件が異なる為、自社に適用される「SAQタイプ」についても把握しておく必要があります。

「加盟店レベル」については第2章で、「SAQタイプ」については第3章で解説します。

▼あせて読みたい
PCI DSSとはどんなもの？どうすれば取得できる？ユービーセキュアのQSA資格保有者が5つの疑問にずばり回答

各国際ブランドが定義する「加盟店レベル」は、加盟店が年間で処理するクレジットカードの取引件数等に基づいて、加盟店をいくつかのレベルに分類したものになっています。
そのレベルによって、QSAによる外部審査が必要なのか、自己問診（SAQ）による準拠が可能なのかが定義されています。

代表例としてVisaの加盟店レベル（表1）では年間600万件未満の取引である加盟店であれば自己問診（SAQ）による準拠が可能です。

表1 国際ブランドであるVisaおける加盟店レベル（一部抜粋）

出展元：https://corporate.visa.com/en/resources/security-compliance.html

※上記のページを基にユービーセキュアにて一部抜粋

なお、実際に自社に適用される「加盟店レベル」はアクワイアラや決済事業者との契約内容によって異なる場合がありますので、必要に応じて契約先の事業者にご確認ください。

SAQは、加盟店の業態やカード情報の取り扱い形態によってタイプが分類されており、自社に合致したSAQタイプで準拠をおこなう必要があります。
各タイプが適用される条件は以下の通りです。

表2  SAQタイプ

※1 端末はPCI SSCのウェブサイトに記載されているPTS POIプログラムに認定された端末である必要がある（https://listings.pcisecuritystandards.org/assessors_and_solutions/pin_transaction_devices）

※2 POSシステム：店舗のレジのような販売情報管理システム

※3 他のSAQタイプの基準を満たさない等の場合、カード情報を電子形式で保存しない形態もある

※4 P2PEソリューション：PCISSCによってP2PE認定されたリスト（https://listings.pcisecuritystandards.org/assessors_and_solutions/point_to_point_encryption_solutions）に登録されているソリューション

※5 SPoCソリューション：PCISSCによってSPoC認定されたリスト（https://listings.pcisecuritystandards.org/assessors_and_solutions/spoc_solutions）に登録されているソリューション

以上、9つのタイプを紹介いたしました。

加盟店がSAQによりPCI DSSの準拠をするには、2章、3章で述べた通り、前提として自社に適用される「加盟店レベル」と「SAQタイプ」を把握しておく必要があります。

自社がどのタイプに当てはまるのかを判定することも容易ではないですが、タイプの選定後、PCI DSSの要件を理解した上でセルフチェックに臨まなければなりません。加盟店独自でセルフチェックを実施するにあたり、セキュリティ知見が必要になりますが、必ずしもセキュリティ人材が充足しているとは限らないと思います。
また、ほかにも以下のような課題が潜んでいます。

1. 要件解釈の難しさ
   PCI DSSの要件はセキュリティやネットワーク等にまつわる専門的な内容のみならず、PCI DSS特有の用語が使用されているものもあります。
   各要件を自社環境に当てはめて正しく解釈することは容易ではなく、要件の解釈の齟齬による誤った判断や見落としが発生し、正しく評価できないおそれがあります。
2. 客観性の欠如
   自社で評価を行うため、都合の良い解釈をしてしまう等、潜在的なリスクを見過ごしてしまったりする可能性があります。
3. 最新情報のキャッチアップの難しさ
   2022年３月にPCI DSS v4.0がリリースされたのち、2024年6月にv4.0.1へマイナーアップデートしたように、PCI DSSは頻繁に改訂されています。これらの最新情報をキャッチアップし、自社の対策に反映するのは、加盟店にとっては大きな負担となり得ます。

上記の課題を抱え自社でSAQの実施を正しく対応するのは容易ではありません。
そのような課題を解決できるのが、QSA資格を持つセキュリティコンサルタントによる支援です。QSA資格を持つセキュリティコンサルタントが支援するメリットについてご紹介します。

1. 正確な要件解釈と適用範囲の明確化
   PCI SSCによって認定されたQSAの資格を持つセキュリティコンサルタントは、PCI DSSの各要件を正確に把握しております。加盟店の業態やカード取り扱い状況に応じて明確にスコープ（適用範囲）を定義し、システム構成などに合わせて、各要件が求めているリスクを踏まえて適切に評価をします。
2. 対外的な信頼性の向上
   第三者機関であるQSAによる支援を受けることで、客観性を保てるので対外的な信頼性の向上につながります。QSAによる支援を受けた場合、QSA審査員の支援を示す署名をSAQ及びAOCに受領できます。
3. 最新のセキュリティ情報の共有
   QSAは常に最新のPCI DSSの更新情報や、国内外のセキュリティトレンドを把握しています。これらの専門知識でより強固なセキュリティ体制の構築に貢献します。

本記事ではSAQを実施してPCI DSS準拠を目指すクレジットカード加盟店様に向けて、SAQをはじめるにあたって把握しておくべき「加盟店レベル」や「SAQタイプ」を解説しました。

加盟店単独でSAQを実施し、PCI DSSに準拠することは可能ですが、4章で示したように専門的なPCI DSSの要件を解釈して進めていくことは容易ではありません。
そのため、初めてSAQを実施される加盟店はQSAの資格を有するコンサルタントのサポートを受けながら準拠を計画・対応することを推奨します。

ユービーセキュアは加盟店のSAQ実施に向け、SAQタイプの判定から準拠に向けたGAP分析（現在の対策がPCI DSSの各要件の内容を満たしているか、あるいは改善が必要かを判断し、改善が必要な場合は改善策を提示する支援）から、自己問診支援（セルフチェックおよび準拠証明書等の代行作成）までPCI DSS準拠に向けた一連の流れをサポートします。

また、ユービーセキュアはセキュリティベンダとしてセキュリティに関する豊富な知見と実績を有しており、加盟店の環境に潜む潜在的な脆弱性やリスクに応じた効果的かつ適切な対策を提言し、加盟店のSAQ実施に向けた総合的なサポートを実施し、セキュリティ向上への対応を支援します。

また、PCI DSSの審査資格であるQSAのほかに、ASV（認定スキャニングベンダ）の認定を取得しております。
そのため、クレジットカード決済のセキュリティに関するコンサルティング、PCI基準の準拠、脆弱性診断など様々な事業者様に対して一貫した課題解決のご提案が可能です。ぜひ以下よりお気軽にご相談ください。

詳細はこちら