情報セキュリティマネジメント試験 情報セキュリティマネジメント試験 令和元年度秋期 午前 問27: クレジットカードなどのカード会員データのセキュリティ強化を目的として制定され，技術面及び運用面の要件を定めたものはどれか。

問題本文

クレジットカードなどのカード会員データのセキュリティ強化を目的として制定され，技術面及び運用面の要件を定めたものはどれか。

選択肢

• ア.ISMS適合性評価制度
• イ.PCI DSS
• ウ.特定個人情報保護評価
• エ.プライバシーマーク制度

正解

イ. PCI DSS

解説

PCI DSS（Payment Card Industry Data Security Standard）は、国際的なクレジットカードブランドが共同で策定した、カード会員データを安全に取り扱うための技術面・運用面の要件を定めた業界統一のセキュリティ基準である。問題文の「カード会員データのセキュリティ強化」「技術面及び運用面の要件」に合致するため、正解はイである。

選択肢ごとの解説

• ア.ISMS適合性評価制度は組織の情報セキュリティマネジメントシステムがJIS Q 27001に適合しているかを評価する制度であり、カード会員データ専用ではないため誤り。
• イ.PCI DSSはクレジットカード会員データ保護に特化した技術・運用要件を定めた基準であり、問題文に合致するため正しい。
• ウ.特定個人情報保護評価（PIA）はマイナンバーを含む特定個人情報の取扱いに伴うリスクを事前評価する制度であり、カード会員データとは無関係なため誤り。
• エ.プライバシーマーク制度は個人情報保護体制が適切な事業者を認定する制度で、対象は個人情報全般でありカード会員データ専用ではないため誤り。