ITパスポート 令和3年度 問61：セキュリティに関する問題

答えは b「PCI DSS」 です。

お店でカードを使うとき、カード番号という超大事な情報が流れます。これが漏れたら大変。そこで「カードの情報は、こんなふうに厳重に守ってね」という世界共通のお約束を作りました。それが PCI DSS です。カード会社みんなで決めた“カード情報を守るためのルールブック”だと思えばOK。

👉 覚え方：PCI＝カード（Payment Card）のルール。

ほかの選択肢：a NFC＝スマホをかざして払うときの近距離通信／c PCI Express＝パソコン内部で部品をつなぐ通り道／d RFID＝電波でピッと読み取るタグ（Suicaの仲間）。どれも「守るルール」ではありません。

なぜこれが正解か

正解は b。PCI DSS（Payment Card Industry Data Security Standard）は、クレジットカード会員データを安全に取り扱うために、国際カードブランド5社が共同で策定したセキュリティ基準。カード情報を保存・処理・送信する事業者が守るべき要件を定める。

各選択肢の解説

• a NFC：近距離無線通信。タッチ決済などに使う通信規格で、セキュリティ基準ではない。
• c PCI Express：PC内部で拡張カードとCPUを高速接続するインタフェース規格。名前が似ているだけで無関係。
• d RFID：電波でICタグを非接触読み取りする技術。在庫管理や交通系ICで使う。

覚え方・ひっかけ注意

c PCI Express が最大のひっかけ。同じ「PCI」でも Express は内部バス、DSS は「Data Security Standard＝データ保安基準」。DSS が付いたらセキュリティ基準と即断する。

理論的背景

PCI DSS（Payment Card Industry Data Security Standard）は、VISA・Mastercard・JCB・American Express・Discover の国際カードブランド5社が設立した PCI SSC（PCI Security Standards Council） が管理する業界主導のセキュリティ基準だ。2004年に統一バージョンが公開されて以来、定期的に改訂されており、最新版は v4.0（2022年公開）。

PCI DSS の構造は「6つの目標」と「12の要件」で構成される：

| 目標 | 主な要件 |

|---|---|

| 安全なネットワークの構築と維持 | ①ファイアウォールの設置 ②デフォルトパスワードの変更 |

| カード会員データの保護 | ③保存データの保護（PAN の暗号化・マスキング）④転送データの暗号化 |

| 脆弱性管理プログラムの維持 | ⑤マルウェア対策 ⑥安全なシステム開発 |

| 強固なアクセス制御策の導入 | ⑦アクセスの業務上の必要性による制限 ⑧個人認証の徹底 ⑨物理的アクセス制限 |

| ネットワークの定期的な監視とテスト | ⑩ログの監視と保存 ⑪定期的な脆弱性スキャン・ペネトレーションテスト |

| 情報セキュリティポリシーの維持 | ⑫情報セキュリティポリシーの策定と維持 |

カード番号（PAN: Primary Account Number）は原則として保存を最小化し、保存する場合はマスキングまたは強固な暗号化（AES-256等）が必須。

実務での使われ方と法的位置づけ

カード情報を扱う加盟店・決済代行業者は取引量に応じて4段階のコンプライアンスレベルに分類され、自己問診票（SAQ: Self-Assessment Questionnaire）または認定セキュリティ評価機関（QSA: Qualified Security Assessor）による外部監査が課される。

日本での法的強化: 2018年施行の割賦販売法改正により、クレジットカード加盟店は「カード情報の非保持化」または「PCI DSS 準拠」が法的義務となった。カード情報を自社に持たない「トークナイゼーション（実際のカード番号を無意味な代替値に置き換える）」や、決済代行業者への完全外部委託により PCI DSS 準拠範囲を大幅に縮小する戦略が実務の主流となっている。

試験での位置づけ

ITパスポートのセキュリティ分野で PCI DSS は頻出語で、「クレジットカード情報保護の基準＝PCI DSS」という一問一答型が定番。本問の最大のひっかけは 選択肢 c「PCI Express」 で、同じ「PCI」という頭字語が使われているため混同しやすい。PCI Express は PC 内部の拡張カード接続インタフェース（PCIe）であり、セキュリティと全く無関係。「DSS（Data Security Standard）が付いたらセキュリティ基準」と覚えれば即断できる。基本情報技術者・情報セキュリティ系資格では、PCI DSS の準拠義務対象・コンプライアンスレベル・QSA監査プロセスまで踏み込む。

選択肢の発展補足

選択肢 a「NFC（Near Field Communication）」 は ISO/IEC 18092 で標準化された近距離無線通信技術（通信距離10cm以内）。スマートフォンのタッチ決済（Apple Pay・Google Pay等）に使われるが、これは決済の通信方式であってセキュリティ基準ではない。カード情報のセキュリティはその上位レイヤ（暗号化・トークナイゼーション）で担保され、NFC はデータ伝送の物理層に過ぎない。

選択肢 c「PCI Express（PCIe）」 は CPU・GPU・SSD・NIC などの周辺機器を高速接続するシリアルバスインタフェース。PCIe 4.0・5.0とバージョンアップするたびに帯域が倍増する。PCIe のPCIはもともと「Peripheral Component Interconnect」の略で、PCI DSS（Payment Card Industry）とは由来が全く異なる。両者の混同を防ぐには「DSS はソフトウェア・セキュリティ基準、Express はハードウェア・バス規格」と軸で分けて記憶するとよい。

選択肢 d「RFID（Radio Frequency Identification）」 は電波を使ってICタグを非接触で読み取る自動識別技術。在庫管理・物流・交通系IC（Suica等）・パスポートの IC チップなどに使われる。電磁誘導型と電波型があり、通信距離はタイプによって数cm〜数十m。セキュリティ対策としては「スキミング」リスクがあり、RFID 対応パスポートや IC カードへのシールド手帳が販売されている。NFC は RFID の一種（短距離特化版）という関係にある。