令和3年度 ITパスポート試験 公開問題 問61 解説 クレジットカードのセキュリティ

クレジットカード情報に関連するキーワードが出たら、選択肢から「PCI DSS」を探すのが正解への近道です。この問題は、アルファベットの略称が似ている用語（NFCやPCI Expressなど）との引っかけ問題ですが、PCI DSSという単語がクレジットカードの安全基準であることを知っていれば一瞬で解けます。

PCI DSS（Payment Card Industry Data Security Standard）は、クレジットカード会員データを安全に取り扱うことを目的として、国際的なクレジットカード会社5社が共同で策定したセキュリティ基準です。

なぜこの基準が必要かというと、クレジットカード番号や有効期限といった重要な個人情報は、流出すると不正利用の被害が甚大になるからです。この基準を満たすためには、ネットワークの構築方法から、データの暗号化、定期的なシステムの脆弱性診断、厳格なアクセス制限まで、多岐にわたる厳しい条件をクリアする必要があります。そのため、クレジットカード決済を取り扱うECサイトや実店舗のPOSシステムなどを運営する事業者は、この基準に準拠することが強く求められます。

試験では、今回のように「クレジットカード情報の保護に関する基準は？」という問い方だけでなく、「PCIDSSが目的とする対象は何か？」という逆パターンの問いもよく出題されます。また、他の選択肢との区別も重要です。

NFC（Near Field Communication）は、かざすだけで通信できる近距離無線通信技術のことで、交通系ICカードやスマホ決済などで使われます。RFID（Radio Frequency Identification）も似ていますが、これは無線タグを使って個体を識別する技術全般を指します。一方、PCI Expressはパソコンの内部でグラフィックボードなどをつなぐための拡張バス規格です。名前の中に「PCI」という共通の文字列が含まれていますが、PCI DSSとは全く別物ですので混同しないよう注意しましょう。

ITパスポート試験においてセキュリティ関連の基準は非常に重要なテーマです。今回のような国際基準以外にも、ISMS（情報セキュリティマネジメントシステム）やプライバシーマークといったキーワードも、それぞれの「目的」と「対象」をセットで覚えておくと、確実に得点源にできます。

• PCI DSS とは（日本カード情報セキュリティ協議会）
• クレジットカード情報の適切な管理に向けた取組みについて（経済産業省）