この基準は、どの組織にも適用することが可能ですが、PCI-DSSが元々想定している主な対象企業は、クレジットカードの加盟店およびサービスプロバイダーです。なお、「サービスプロバイダー」とは、加盟店契約会社（アクワイアラ）やカード発行会社（イシュア）、加盟店、または他のサービスプロバイダーに代わってカード会員データの保管、処理、送信を行う企業のことです。年間のカード取引量が相応の加盟店やサービスプロバイダーは、本基準に基づいてカード管理システムに関する情報セキュリティ体制を構築することが求められます。

1. 訪問審査　PCI国際協議会によって認定された審査機関(QSA=Qualified Security Assessor)による訪問審査を受けて、認証を得ることが必要です。
2. サイトスキャン　PCI国際協議会によって認定されたベンダー(ASV=Approved Scanning Vendor) のスキャンツールによって、四半期に1回以上の点検を受けて、サイトに脆弱性のないことの認証を得ることが必要です。
3. 自己問診　PCI-DSS要求事項に基づいたアンケート形式によるチェック項目に回答し、全て「Yes」であれば準拠していると認められます。

PCI-DSSは約100頁からなり、「12の要件」に基づく章構成になっています。

「12の要件」には、以下のようなものがあります。

【ポイント】
要件 1:カード会員データを保護するために、ファイアウォールをインストールして構成を維持する
要件 2:システムパスワード及び他のセキュリティパラメータにベンダ提供のデフォルト値を使用しない
要件 3:保存されるカード会員データを保護する
要件 4:オープンな公共ネットワーク経由でカード会員データを伝送する場合、暗号化する
要件 5:すべてのシステムをマルウェアから保護し、ウイルス対策ソフトウェアまたはプログラムを定期的に更新する
要件 6:安全性の高いシステムとアプリケーションを開発し、保守する
要件 7:カード会員データのアクセスを、業務上必要な範囲内に制限する
要件 8:システムコンポーネントへのアクセスを確認・許可する。
要件 9:カード会員への物理的アクセスを制限する。
要件 10:ネットワークリソース及びカード会員データへのすべてのアクセスを追跡及び監視する
要件 11:セキュリティシステム及びプロセスを定期的にテストする
要件 12:すべての担当者の情報セキュリティに対応するポリシーを維持する

このようにPCI-DSSでは「技術的・具体的に何をすべきか」を明示しています。情報セキュリティの認証基準であるISMS(ISO27001:情報セキュリティマネジメントシステム)に比べても、PCI-DSSはクリアすべきハードルが明確であるため、カード管理を委託する側(カードブランドや顧客)には安心感があります。
   

PCI-DSSで求められるセキュリティ管理策は、守るべき対象がクレジットカードでなくとも、企業として守りたい重要情報であれば、十分に適用できるものです。たとえば、PCI-DSSに規定されている「安全なネットワークの構築と維持」「脆弱性管理プログラムの整備」「強固なアクセス制御手法」などは、カード情報に限らず重要なデータの管理に必須な手法であると言えます。前段でも触れましたように、管理策が具体的に記述されているという点からも、たとえPCI-DSSが元々想定している対象企業でなくても、以下のような方々にとっては実務対応の参考になるでしょう。

• 情報セキュリティへの対応が不十分だと認識しているが、具体的にどこまで対応すればよいのかがよくわからない情報セキュリティ担当者
• 個人情報・顧客情報データベースを管理しており、高いセキュリティを維持する必要があるシステム担当者
• 一通りのセキュリティ対策をも何年か前に完了しきちんと維持管理している社内情報セキュリティ管理担当者、ISMS(ISO27001)事務局