PCI DSS の概要
ペイメント カード業界 (PCI) データ セキュリティ Standard (DSS) は、クレジット カード データの制御を強化することで詐欺を防ぐために設計されたグローバルな情報セキュリティ標準です。 すべての規模の組織は、5つの主要なクレジットカードブランドからの支払いカードを受け入れる場合は、PCI DSS基準に従う必要があります:ビザ、マスターカード、アメリカンエクスプレス、ディスカバー、日本信用局(JCB)。 この PCI DSS への準拠は、支払いとカード所有者に関するデータを保存、処理、または転送するすべての組織に求められます。
Microsoft と PCI DSS
Microsoft では、年 1 回、認定 Qualified Security Assessor (QSA) による PCI DSS 評価を実施しています。 監査者は、Microsoft Azure、Microsoft OneDrive for Business、Microsoft Office SharePoint Online、および Microsoft Azure Communication Service 環境を確認しました。 このレビューには、インフラストラクチャ、開発、運用、管理、サポート、スコープ内のサービスの検証が含まれていました。 PCI DSS では、取引量に応じて 4 つのレベルのコンプライアンスが指定されています。 Azure、OneDrive for Business、SharePoint Online、Azure Communication Service は、サービス プロバイダー レベル 1 の PCI DSS バージョン 4.0.1 (年間 600 万を超えるトランザクションの最も多いボリューム) で準拠として認定されています。
評価の結果、お客様が利用できる Attestation of Compliance (AoC) と Report on Compliance (RoC) が QSA によって発行されています。 コンプライアンスの有効期間は、監査に合格して、査定人から AoC を受け取ったときから始まり、その AoC に署名された日付の 1 年後に終了します。
カード所有者環境またはカード処理サービスを開発したいお客様は、基になる部分の多くでこれらの検証を使用できるため、関連する作業と、独自の PCI DSS 認定を取得するためのコストを削減できます。
Azure、OneDrive for Business、SharePoint Online、Azure Communication Service の PCI DSS コンプライアンス状態は、お客様がこれらのプラットフォームで構築またはホストするサービスの PCI DSS 認定に自動的に変換されない点を理解することが重要です。 PCI DSS 要件への対応についてはお客様自身が責任を負います。
対象となる Microsoft のクラウド プラットフォームとサービス
- Azure および Azure Government
- Intune
- Microsoft Defender for Cloud Apps
- Microsoft Defender for Endpoint
- Microsoft Graph
- Office 365
- OneDrive for Business、SharePoint Online、Azure Communication Service
- PowerApps クラウド サービス (スタンドアロン サービス、または Office 365 および Dynamics 365 ブランド プランまたはスイートに搭載されているサービス)
- Power Automate (スタンドアロン サービス、または Office 365 および Dynamics 365 ブランド プランまたはスイートに搭載されているサービス)
- Power BI クラウド サービス (スタンドアロン サービス、または Office 365 ブランド プランあるいはスイートに搭載されているサービス)
Azure、Dynamics 365、PCI DSS
Azure、Dynamics 365、およびその他のオンライン サービス コンプライアンスの詳細については、Azure PCI DSS サービスを参照してください。
Office 365 と PCI DSS
Office 365環境
Microsoft Office 365 は、マルチテナント ハイパースケール クラウド プラットフォームで、世界の一部の地域のお客様が利用できるアプリとサービスの統合エクスペリエンスを提供するものです。 ほとんどの Office 365 サービスでは、顧客データがある地域を指定できます。 Microsoft は、データの回復性のために、顧客データを同じ地理的エリア内の他の地域 (米国など) にレプリケートする場合がありますが、Microsoft は選択した地理的エリアの外部に顧客データをレプリケートしません。
このセクションでは、次のOffice 365環境について説明します。
- クライアント ソフトウェア (クライアント): 顧客デバイスで実行されている商用クライアント ソフトウェア。
- Office 365 (商用): グローバルに利用可能な商用パブリックな Office 365 クラウド サービス。
- Office 365 Government Community Cloud (GCC): Office 365 GCC クラウド サービスは、米国の連邦、州、地方、および部族政府、および米国政府の代わりにデータを保持または処理する請負業者が利用できます。
- Office 365 Government Community Cloud - 高 (GCC High): Office 365 GCC High クラウド サービス は、国防総省 (DoD) セキュリティ要件ガイドライン レベル 4 のコントロールに従って設計されており、厳しく規制された連邦および国防の情報をサポートします。 この環境は、連邦政府機関、国防産業基盤 (DIB)、政府機関の請負業者によって使用されます。
- Office 365 DoD (DoD): Office 365 DoD クラウド サービス は、DoD セキュリティ要件ガイドライン レベル 5 のコントロールに従って設計されており、厳格な連邦および防衛規制をサポートしています。 この環境は、米国国防総省が排他的に使用するためのものです。
このセクションを使用すると、規制対象の業界やグローバル市場におけるコンプライアンスの義務を果たすことができます。 どの地域でどのサービスが利用できるかを確認するには、「国際的な使用可能性情報」と、「Microsoft 365 顧客データの格納先」の記事を参照してください。 Office 365 Government クラウド環境の詳細については、「Office 365 Government Cloud」の記事を参照してください。
あらゆる適用法と規制に準拠するのは、お客様の組織が全責任を負っていただくものとします。 このセクションに記載されている情報は法的アドバイスではありません。組織の規制コンプライアンスに関する質問については、法律アドバイザーに相談してください。
Office 365 の適用性と範囲内のサービス
以下の表を使用して、Office 365 サービスとサブスクリプションの適用性を決定します。
| 適用性 | 範囲内のサービス |
|---|---|
| 商用 | Azure Communication Service、OneDrive for Business、SharePoint Online |
Office 365 監査、レポート、証明書
よく寄せられる質問
コンプライアンス構成証明 (AoC) の表紙に "2024 年 8 月" と表示される理由
表紙の 2024 年 8 月の日付は、AoC テンプレートが発行されたときです。 評価の日付については、セクション 2 を参照してください。
PA DSS と PCI DSS の間にはどのような関係があるのですか?
Payment Application Data Security Standard (PA DSS) は PCI DSS に準拠する一連の条件で、Visa の Payment Application Best Practices に代わるものであり、他の主要カード発行元のコンプライアンス要件が統合されています。 PA DSS は、ソフトウェア発行元が、カード承認または決済プロセスの一環としてカード所有者の支払データを格納、処理、または送信するアプリケーションを開発するのに役立ちます。 PCI DSS コンプライアンスを効率的に実現するには、小売り業者が PA DSS 認定アプリケーションを使用する必要があります。 PA DSS は Azure には適用されません。
"取得者" とは何ですか? Azure では使用していますか?
取得者とは、銀行、またはカード支払い取引を処理するその他の当事者です。 Azure では、サービスとしての支払いカード処理が提供されないため、アクワイアラーは使用されません。
PCI DSS はどのような組織や業者に適用されるのですか?
PCI DSS は、規模や取引数に関係なく、カード会員データを受信、転送、または保存するすべての企業に適用されます。 つまり、お客様がクレジット カードまたはデビット カードを使用して企業に支払った場合は、必ず PCI DSS 要件が適用されます。 企業は、12 か月間の取引量合計に基づいて 4 つのレベルのいずれかで検証されます。 レベル 1 は年間取引件数が 600 万件を超える企業、レベル 2 は 100 ~ 600 万件、レベル 3 は 2 ~ 100 万件、レベル 4 は 2 万件未満の企業を対象としています。
OneDrive for Business および SharePoint Online の対象ついて
現在、ONEDRIVE FOR BUSINESS および SharePoint Online にアップロードされたファイルとドキュメントのみが PCI DSS に準拠しています。
Microsoft Purview コンプライアンス マネージャーを使用してリスクを評価する
Microsoft Purview コンプライアンス マネージャーは、Microsoft Purview ポータルの機能であり、organizationのコンプライアンス体制を理解し、リスクを軽減するためのアクションを実行するのに役立ちます。 コンプライアンスマネージャーには、この規制の評価を構築するためのプレミアム テンプレートが用意されています。 コンプライアンスマネージャーの評価テンプレート ページでテンプレートを見つけます。 コンプライアンスマネージャーで評価をする方法について説明します。