クラウドコンプライアンス
カード会員データとは?
公開日: 2025年4月4日

カード会員データ(CHD)とは?
カード会員データ(CHD)とは、Payment Card Industry Data Security Standard(PCI DSS)によって保護されている、決済カードに関する情報です。これには、完全なプライマリーアカウント番号(PAN)、および場合によってはカード会員の氏名、有効期限、サービスコードが含まれます。
CHDとは、取引完了後に利用可能になる情報であり、カード会員の氏名、カードの有効期限、プライマリーアカウント番号(PAN)が含まれます。
クレジットカードデータ(CHD)の保護がなぜそれほど重要なのでしょうか?
クレジットカードデータ(CHD)保護は、いくつかの理由で重要です。顧客コンプライアンスは、信頼の維持、規制の遵守、金銭的ペナルティの防止に役立つため、非常に重要です。暗号化などのセキュリティ対策は、機密データの安全性を確保し、データ漏洩による潜在的な損害を軽減するために不可欠です。
金銭的損失は、個人情報の盗難や不正購入など、いくつかの方法で発生する可能性があります。機密性の高いCHDデータへの不正アクセスを制限することは、潜在的な金銭的損失のリスクを最小限に抑えることができるため、非常に重要です。クレジットカードデータを扱う企業は、顧客の信頼を維持しなければなりません。CHDの保護は、企業がコンプライアンスを維持し、データセキュリティに関する信頼性を高めるために不可欠です。
カード会員データ(CHD)の侵害はどのような影響がありますか?
カード会員データ(CHD)の漏洩は、消費者、金融機関、そして小売業者に重大な影響を与える可能性があります。漏洩の結果として、経済的責任、多額の罰金、法的費用、補償費用、評判の失墜、顧客の信頼の喪失などが起こりえます。
これらのリスクを軽減するには、Payment Card Industry Data Security Standard(PCI DSS)の遵守が不可欠です。非準拠の場合、追加の金銭的罰則や評判の失墜につながる可能性があります。
カード会員データ(CHD)と機密認証データ(SAD)の違いは何ですか?
機密認証データ(SAD)とカード会員データ(CHD)は、決済処理に不可欠な2種類のデータです。CHDには、決済確認後も保持される可能性のあるプライマリーアカウント番号(PAN)、カード会員名、決済カードの有効期限などのデータが含まれます。
カード会員を認証するために、SAD は PIN、磁気ストライプまたは EMV チップからのトラックデータ、カード確認コード/値 (CVC、CVV、または CID) などのコンポーネントで構成されています。CHD と SAD には異なるセキュリティ要件があるため、それらの違いを理解することが重要です。
- 加盟店は CHD を保存できますが、保存する場合は暗号化する必要があります。ただし、SAD が暗号化されている場合でも、企業は承認後に SAD を保存することはできません。
- 加盟店は CHD の方が SAD よりも機密性が低いため、CHD を保持できます。
- 加盟店は CHD を使用して顧客の取引を追跡できます。
- 加盟店は SAD の方が CHD よりも機密性が高いため、SAD を保持すべきではありません。
- 加盟店は SAD を使用して顧客の取引を追跡することはできません。
PCI DSSへの準拠は誰が必要ですか?
銀行、決済ゲートウェイ、加盟店、サービスプロバイダーなど、カード取引に関与するすべての組織は PCI DSS に準拠する必要があります。これは、規模や取引量に関係なく、クレジットカード情報を処理、保存、または送信するすべての企業に適用されます。
取引や保管中のカード会員データのセキュリティを保証するために、関係するすべての組織はこのプロセスに従う必要があります。契約上の要件と年次コンプライアンス検証は、クレジットカードネットワーク契約に明記されており、クレジットカード会社によって要求されています。
サードパーティプロセッサ(TPSP)のPCI DSS要件は何ですか?
サードパーティプロセッサ(TPSP)も、支払いカードの処理においてPayment Card Industry Data Security Standard(PCI DSS)に従う必要があります。SaaS企業は、少なくとも12か月に一度、TPSPのPCI DSSコンプライアンスを管理および監視する必要があります。
TPSPは、SaaS組織に対し、年次PCI DSSを通じて検証するために、PCI DSSコンプライアンスを提示する必要があります。 コンプライアンス監査 またはTPSPの複数回のランダム監査。SaaSビジネスは、TPSPのPCI DSSコンプライアンスステータスを毎年追跡し、TPSPの責任であるすべてのPCI DSS要件を追跡するための計画を作成する必要があります。
最終的に、SaaS事業者は自社のPCI DSSコンプライアンスに責任を負います。TPSPはカード会員データ環境の安全性に影響を与えるため、SaaS事業者はTPSPが確実に準拠しているようにしなければなりません。
PCI DSSに準拠しなかった場合、どのような結果が生じますか?
金銭的な罰則、評判の失墜、顧客の信頼の喪失、ビジネスチャンスの喪失は、PCI DSSに準拠していない場合の深刻な影響のほんの一部です。
さらに、準拠していない企業は、法的影響、取引コストの増加、より厳格な監査基準、銀行との提携終了などのリスクに直面します。深刻な場合には、非準拠により倒産に至る可能性があります。
決済カード会社は、加盟店獲得銀行に罰金を科し、その罰金を加盟店に転嫁することがあります。特に、PCI DSSに準拠していない場合、準拠を達成するまで、毎月5,000ドルから100,000ドルの罰金が科される可能性があります。
結論
クレジットカード取引を処理するすべてのSaaS組織は、消費者の信頼を維持し、PCI DSSなどの厳格な基準を順守し、データ侵害による深刻な財務的および評判への影響を軽減するために、カード会員データ(CHD)を保護する必要があります。機密認証データ(SAD)とCHDの重要な違いを理解し、それぞれに特定のガイドラインに従うことが不可欠です。
第三者決済処理業者(TPSP)の監視、そして暗号化自体ではシステムがPCI DSS準拠の免除対象にならないことを認識することは、更なる義務となります。最終的に、CHDの保護は長期的な収益性と財務安定に影響を与え、単なる技術要件以上のものとなります。