情報セキュリティマネジメント試験 情報セキュリティマネジメント試験 平成29年度春期 午前 問26: クレジットカードなどのカード会員データのセキュリティ強化を目的として制定され，技術面及び運用面の要件を定めたものはどれか。

問題本文

クレジットカードなどのカード会員データのセキュリティ強化を目的として制定され，技術面及び運用面の要件を定めたものはどれか。

選択肢

• ア.ISMS適合性評価制度
• イ.PCI DSS
• ウ.特定個人情報保護評価
• エ.プライバシーマーク制度

正解

イ. PCI DSS

解説

本問はクレジットカード業界のセキュリティ基準を問う問題である。PCI DSS（Payment Card Industry Data Security Standard）は、国際カードブランド5社が共同で策定した、カード会員データを安全に取り扱うための技術面・運用面の要件を定めた基準であり、正解はイである。

選択肢ごとの解説

• ア.ISMS適合性評価制度は、組織の情報セキュリティマネジメントシステムがJIS Q 27001に適合しているかを第三者が認証する制度で、カードデータ専用ではない。
• イ.正しい。PCI DSSはクレジットカード会員データの保護を目的に、ネットワーク構築や暗号化など具体的な技術・運用要件を定めた業界統一基準である。
• ウ.特定個人情報保護評価（PIA）は、マイナンバー（特定個人情報）を取り扱う際に漏えいリスク等を事前に評価する制度であり、カードデータとは無関係である。
• エ.プライバシーマーク制度は、個人情報保護体制が整備された事業者に付与される認定制度で、カード会員データに特化したものではない。