PCI DSS 4.0 は、クレジット カード情報と顧客の個人データを保護するために組織が講じなければならない予防措置を規定する、ペイメント カード業界によって設定された最新の標準です。新しい標準は、現在の PCI DSS v3.2.1 バージョンを廃止し、リスク軽減のための新しいガイドライン セットを提供します。

これらの追加要件の背後にある目標は、継続的なプロセスとしてセキュリティを促進し、検証方法と手順を強化し、追加のセキュリティ方法論の柔軟性とサポートを提供することです。

PCI DSS 標準 4.0 の新バージョンでは、要件の拡張、コンプライアンスの変更、セキュリティ管理の改訂が行われています。すべての新しい変更に関する唯一の信頼できる情報源は、PCI SSC ドキュメント ライブラリにある PCI DSS v3.2.1 から PCI DSS v4.0 への変更概要ドキュメントです。

新しい更新と要件を明確に理解したら、それらを現在のセキュリティ管理と照らし合わせて、ギャップを埋めるために組織が実行する必要がある手順を文書化する必要があります。

2025 年 3 月 31 日の期限に間に合うようにスムーズな移行と実装を確実に行うために、リーダーは各要件に対する役割と責任を明確に定義し、すべてのチームと関係者の間で明確なコミュニケーションを確保する必要があります。

PCI DSS 4.0 は、2024 年 3 月の時点ですでにほぼ発効しています。最終的な新しいコンプライアンス要件の一部は、2025 年 3 月 31 日に発効します。後者の要件は現在「ベスト プラクティス」として分類されていますが、「PCI DSS 4.0.1」としてグループ化される最終的な要件セットの一部です。

PCI DSS コントロールは、ビジネス環境でカード所有者のデータを保護するために組織が実装する必要があるセキュリティ対策です。これらは、機密性の高い顧客データと支払いデータの安全性を確保するために必要です。

新しい PCI DSS 4.0 管理は、以前のバージョンの要件とほぼ同じ内容をカバーしていますが、リスク軽減とアクセス制御が拡張されています。 12 の主要な PCI DSS 要件にまたがる 64 の新しい管理があります。新しい PCI DSS 4.0 の完全なリストについては、PCI SSC ドキュメント ライブラリにある「PCI DSS v4.0 変更の概要」ドキュメントを参照してください。

PCI DSS 4.0 には以下の 12 の要件があります。

1. カード所有者のデータを保護するためにファイアウォール構成をインストールおよび維持する

2. システムパスワードやその他のセキュリティパラメータにベンダー提供のデフォルトを使用しないでください。

3. 保存されているカード会員データを保護する

4. オープンなパブリック ネットワークを介したカード所有者データの送信を暗号化する

5. すべてのシステムをマルウェアから保護し、ウイルス対策ソフトウェアまたはプログラムを定期的に更新します。

6. 安全なシステムとアプリケーションを開発および維持する

7. ビジネス上必要な情報に基づいてカード会員データへのアクセスを制限する

8. システムコンポーネントへのアクセスを識別および認証する

9. カード会員データへの物理的アクセスを制限する

10. ネットワーク リソースとカード所有者のデータへのすべてのアクセスを追跡および監視する

11. セキュリティ システムとプロセスを定期的にテストする

12. すべての従業員の情報セキュリティに対処するポリシーを維持する

ペイメント カード業界データ セキュリティ標準 (PCI DSS) は、支払いアカウント データが保存、処理、または送信される環境を保護するために設計された一連のセキュリティ要件です。

PCI DSS は、カード所有者のデータを侵害や詐欺から保護するために組織が実装する必要があるセキュリティ対策を概説した包括的なフレームワークです。安全なネットワークの構築と維持、カード所有者のデータの保護、脆弱性の管理、強力なアクセス制御対策の実装、ネットワークの定期的な監視とテスト、情報セキュリティ ポリシーの維持に関するガイドラインを提供します。

\PCI DSS は、Payment Card Industry Security Standards Council (PCI SSC) によって開発および管理されています。この協議会は、Visa、MasterCard、American Express、Discover、JCB などの大手クレジットカード会社によって設立され、PCI DSS およびその他のセキュリティ標準の開発と管理を監督しています。

PCI DSS の主な目的は、カード所有者のデータを保護し、クレジットカード詐欺を減らすことです。この標準では、安全なネットワークの構築と維持、カード所有者のデータの保護、脆弱性管理プログラムの維持、強力なアクセス制御手段の実装、ネットワークの定期的な監視とテスト、情報セキュリティ ポリシーの維持など、6 つの目標が定められています。

PCI DSS は、クレジットカード詐欺やデータ侵害の増加に対処するために制定されました。大手カードブランドは、標準化されたセキュリティ要件を設定することで、カード情報の漏洩に伴う金銭的損害や評判の損失から企業や消費者を保護することを目指しました。

PCI DSS は、カード所有者データと支払いアカウント データを保護するように設計されています。これには、カード所有者データ (CHD)、カード所有者名、カードの有効期限、サービス コード、およびフル トラック データ、カード検証、PIN ブロックなどの機密認証 DAA (SAD) が含まれます。PCI DSS は、この情報が安全に処理、保存、送信されることを保証することで、データ侵害や詐欺のリスクを最小限に抑えます。

PCI DSS は 2004 年 12 月 15 日に初めて導入されました。導入以来、新たなセキュリティの脅威や技術の進歩に対応するために、何度か改訂されてきました。

ペイメント カード業界データ セキュリティ標準 (PCI DSS) の最新バージョンは、2024 年 6 月に公開されたバージョン 4.0.1 です。このバージョンには、標準の使いやすさと有効性を高めるための小さな修正と明確化が含まれています。PCI DSS バージョン 4.0 は 2022 年 3 月 31 日にリリースされ、新たな脅威とテクノロジーに対処するための更新が導入されました。組織には、2024 年 3 月 31 日までにバージョン 3.2.1 からバージョン 4.0 に移行する必要があります。

この移行の後、バージョン 4.0.1 がアクティブな標準となり、バージョン 4.0 は 2024 年 12 月 31 日に廃止される予定です。

PCI DSS コンプライアンスは、医療分野における取引中の患者の支払いカード情報を保護します。

主な目的は以下の通りです：

カード所有者データの保護

病院や診療所はクレジットカード決済を処理しており、これによりPCI DSSコンプライアンスの対象となります。患者データの保護に注力する一方で、オンラインポータルや第三者の請求サービスが脆弱なまま放置されることがあります。ハッカーはこれらの弱点を突き、古くなったソフトウェア、誤設定されたクラウドストレージ、暗号化されていないデータを利用して支払い情報を盗みます。

PCI DSSは暗号化、安全な鍵の保管、アクセス制限など、厳格なセキュリティ対策を義務付けています。これらのガイドラインに従うことで、医療ITチームは侵害を防ぎ、ランサムウェアのリスクを最小限に抑え、患者の支払いデータを安全に保つことができます。

経済的損失の防止

医療分野における支払いセキュリティの侵害は、単なるカード情報の盗難にとどまらず、膨大な経済的損失を引き起こす可能性があります。病院や診療所は、訴訟、規制による罰金、数百万に達する身代金要求に直面するリスクを負っています。PCI DSSコンプライアンスは、支払いデータを保護するために厳格なセキュリティ対策を実施し、取引を処理する第三者ベンダーが同様の基準を遵守することを保証します。コンプライアンスを維持することで、医療提供者は収益を守り、経済的なリスクを回避し、患者の信頼を維持し、その機密情報を安全に保つことができます。

PCI DSSアウトソーシングとは、企業が支払い処理、データ保存、またはセキュリティ機能をPCI DSS準拠の第三者プロバイダーに委託することです。企業は、セキュリティ強化や複雑さの削減のために、PCI DSSコンプライアンスのさまざまな側面をアウトソーシングすることができます。

PCI DSSアウトソーシングの主な利点は以下の通りです：

1. スコープと複雑さの削減

支払い処理、暗号化、またはトークン化をアウトソーシングすることで、企業は一部の責任を第三者に移し、PCI DSSコンプライアンスの負担を軽減できます。これにより、カードデータを自社で保存する必要がなくなり、セキュリティ管理が容易になります。しかし、企業は依然としてプロバイダーがPCI DSS準拠であり、定期的な監査を受け、強固なセキュリティ対策を講じていることを確認する責任があります。アウトソーシングはコンプライアンスを簡素化しますが、責任を排除するわけではありません—企業は依然としてデータ漏洩が発生した場合に適切に対処し、報告しなければなりません。

2. セキュリティの強化

第三者プロバイダーは支払いセキュリティの処理に特化しています。データの暗号化、カード番号のトークン化、安全な認証の設定、不正アクセスの防止方法を熟知しています。また、ネットワーク分割などのタスクを処理し、カードデータの保存を他の業務システムから分離します。彼らの専門知識には、リアルタイムでの監視設定、セキュリティテストの実施、およびPCI DSSルールの遵守の確保が含まれており、これにより企業は内部のセキュリティチームを必要とせずに要件を満たすことができます。

3. コスト削減

社内でPCI DSSコンプライアンスを維持するには、インフラ、監査、人員に多くのコストがかかります。アウトソーシングは、企業が追加のセキュアな支払いインフラを構築し維持する必要がないため、コストを削減できます。準拠したプロバイダーと連携することで、プロセスを簡素化し加速させ、さらなるコスト削減が実現できます。

ビジネスが最初に行うべきことは、自社のPCI DSSコンプライアンスレベルを把握することです。これは年間のクレジットカード取引の件数に基づいています。適切なレベルを知ることで、どのステップを踏むべきか、自己評価を行うべきか、または専門の評価者による完全なセキュリティ監査を受けるべきかを決定するのに役立ちます。