第2回 あの手この手で守るべきカード情報、その中身とは？

川島　祐樹
NTTデータ・セキュリティ株式会社
コンサルティング本部　PCI推進室
CISSP
2008/10/7

PCI DSSではクレジットカード、デビットカードなど「ペイメントカード」の情報保護指針を定めています。日本でも身近になったクレジットカードですが、どのような情報が含まれるのでしょうか。クレジットカード情報の保護から、基本的なセキュリティの考え方を再度確認してみましょう（編集部）

---

　第1回「エンジニアも納得できる“PCI DSS”とは」では、PCI DSSの概略を解説しました。第2回ではPCI DSSで守るべき「カード情報」について、そもそもカード情報と呼ぶものに何が含まれるのか、そしてどのようにカード情報を守るべきかを解説します。

　「カード会員情報」って16けたの番号だけじゃないの？

　一言でカード会員情報といっても、その情報にはさまざまなものがあります。皆さまがお持ちのクレジットカードをご覧のうえご確認いただけたら幸いです。カード決済に関連するシステムを守ること以前に、ご自身のカード会員情報を守っていただくことにも役立つはずです。

図1　クレジットカードに含まれる「カード情報」

（1）カード会員番号（PAN：Primary Account Number）

　これは主に14けたから16けたの、いわゆるカード番号と呼ばれる情報です。これはその名のとおりカード会員を識別する主要番号で、カード情報を守るうえで最重要の要素となります。なぜなら、カード会員番号がなくてはカード決済ができないからです。悪意のある人間がカード番号を入手することができなければ、不正利用、なりすましによるカード被害に遭うことはありません。しかし例外もあります。その例外については後述します。

（2）暗証番号（PIN：Personal Identification Number）

　暗証番号（PIN）は、クレジットカードの磁気ストライプデータには保管されていません。PINはカード決済時のサインの代わりに使われるものです。つまり、本人確認に使用されます。本人を確認するということは、このデータがもし盗まれてしまうと、本人になりすますことができてしまうということと同じです。そのため、この要素も非常に重要であるといえます。

（3）有効期限

　そのカード会員番号が有効である期限で、通常月2けた、年2けたの「0810」というような形で表現されます。有効期限もカード決済（オーソリゼーション）時にはカード会員番号とともに提示しなくてはならないため、重要な要素であるといえますが、当然カード会員番号なしに有効期限だけではカード決済は行うことはできません。このため、カード会員番号との組み合わせで重要性が現れます。

（4）氏名

　クレジットカードにエンボス加工されている氏名です。カード決済においては、上記要素よりも重要性は低いといえますが、カード情報以前に個人情報であるのでこちらも当然適切に保護する必要があります。

（5）CVV、CVC、CID（Card Verification Value、Card Verification Code、Card IDentification number）

　まず、この要素はいくつもの呼び方がありますが、カードブランドごとに呼び方が異なるだけで、意味や用途は同じです。便宜上、ここではCVVと呼びます。CVVデータは磁気ストライプデータに記録されたカード認証用のコードで、カード会員番号や有効期限に加えて、そのカードの正当性について確認を行うのに使われます。カードの磁気ストライプデータに含まれており、表面的に見えないため、通常カードを使用しているときに目にすることはないでしょう。

（6）CVV2、CVC2、CID2

　“2”と付いたこれらの要素は、上記（5）の要素とは別の、カードの本人による所有を確認するために使われるものです。ブランドによって呼び方が異なるのは（5）のデータと同様ですので、また便宜上CVV2とします。CVVデータと決定的に異なる点は、磁気ストライプデータに含まれないということです。これはカード署名欄の右上にある3けたの番号、もしくはブランドによってはカード表面に記録された3けたの番号で、エンボスもされていませんし、磁気ストライプデータにも含まれていないことが特徴です。インターネットで買い物をされる方は見掛けた、もしくは利用したこともあるのではないでしょうか。

　クレジットカード関連の用語として、インターネット決済のように本人が買い物をするお店に出向いたり、店員と対面したりせずに決済が行われる取引を非対面取引と呼びます。店舗で実際に顔を合わせて決済することを、対面取引と呼びます。インターネットでカードを使って買い物ができるのはいうまでもなく便利ですが、この便利さの裏にあるのが、悪意のある人も同様に店舗に出向くことなく、また、自分の顔も見せることなく不正利用できるという実態です。CVV2とは、これに対応するための認証要素なのです。

　“持たない”が最も有効な施策、持つのならばきっちり守る

　クレジットカード情報の要素は、磁気ストライプデータに含まれるものやICチップに含まれるもの、ほかにもさまざまな要素がありますが、上記の要素が不正利用やなりすましを行う（防ぐ）うえで重要な要素となります。また、上記の分類方法から、セキュリティ対策を行ううえで大切な考え方を学べるのです。

　PCI DSSでは、上記の要素を通常の「カード会員データ」と「機密認証データ」に分け、施すべきセキュリティ対策を差別化しています。簡単に説明すると、カード会員番号、有効期限、氏名などは、適切に暗号化など「判読不能にする」ことで保管が許されていますが、PINやCVV2、磁気ストライプデータすべてなどの情報は、その情報を利用した後にすぐに削除することが求められています。つまり、機密認証データはたとえ暗号化を行おうと、保管が禁止されているのです。

　ここから分かることは、「情報は重要度に応じて分類し、それぞれに対して適切なセキュリティ対策を施す必要がある」ということです。もちろん何の情報も保管していなければ盗まれる心配も紛失する可能性もありませんから、「持たないこと」が最も効果的なセキュリティ対策であるといえます。しかし、業務上どうしても情報の保持が必要になってしまうこともありますし、カード番号などは場合によっては定期的な支払いが必要なサービスを提供している場合や、カスタマーサービスを提供するうえで必要になる場合もあります。

　ご自身の環境では、どのような情報がどのような状況で必要になるのか、それらの情報がどれだけの重要度を持っているのか、そしてそれぞれに対して実施するセキュリティ対策を費用対効果とともに分析するというのはISMSの基本的な考え方でもありますし、どのようなセキュリティ対策基準やガイドラインを用いようとも、必要な作業であることが分かります。

　PCI DSSは非常に具体的で有効なセキュリティ基準です。カード情報以外の情報を守るためには保持している情報資産を分類し、リスク分析を行って、PCI DSSをどう適用するのか、という作業なくしては、PCI DSSを利用しようとも過剰になってしまったり不足してしまったりといったことも十分考えられます。

　ここでは、PCI DSSの中でどのようにカード情報を分類し、セキュリティ対策を適用するか、といった基本的な考え方を紹介しました。カード情報以外の企業の持つ情報資産を分類し、適用範囲を定め、費用対効果を踏まえてセキュリティ対策を実施する、そして有効性を評価するといった枠組みは、いうまでもなくISMSが有効です。そこで筆者は、ISMSとPCI DSSの両方を組み合わせることで相互に補完でき、極めて有効なセキュリティ対策を施せると考えています。

1/3

Index
あの手この手で守るべきカード情報、その中身とは？
	Page1 「カード会員情報」って16けたの番号だけじゃないの？ “持たない”が最も有効な施策、持つのならばきっちり守る
	Page2 ネットショッピングでよく見掛ける「3Dセキュア」とは？ セキュリティの基本は「多層防御」
	Page3 不正利用にカード番号は必須ではない?! カード情報保護を通じて「セキュリティの考え方」を知るべし

オール・ザッツ・PCI DSS 連載インデックス

＠ITメールマガジン　新着情報やスタッフのコラムがメールで届きます（無料）