サプライチェーンを考慮しなければならない

　PCI DSSの順守が求められる事業体としては，加盟店およびプロセサー（決済代行事業者）が代表例であるが，これ以外の事業体であっても，カード会員データにアクセスできる事業体はその業務内容に対応する要求事項を順守しなければならない。すなわち，カード会員データの処理の過程で情報の共有が行われるサプライチェーンすべての事業体がPCI DSSの順守を求められることになる。

カード会員データを共有する場合の要求事項

　サービス・プロバイダは，加盟店などとの契約に基づきクレジットカードに関する業務を請負うすべての事業体を指している。カード会員データをサービス・プロバイダと共有する場合には，事業体とサービス・プロバイダとの間で，PCI DSSの要求をサービス・プロバイダが順守する旨が明記された契約の締結が必要となる。

　また，同契約には、サービス・プロバイダが保有するカード会員データのセキュリティに対して，サービス・プロバイダ自らが責任を負っている旨の内容を含めなければならない。このため，事業体がカード会員データをサービス・プロバイダと共有する場合には，委託契約に上記事項が含まれているか十分に精査する必要がある。

プロセサーおよびサービス・プロバイダへの要求事項

　以下は，プロセサーおよびサービス・プロバイダを対象とした要件である。

　プロセサーおよびサービス・プロバイダは，複数の事業体と接続することが想定される。そのため，PCI DSSでは，特にこのような要件を定め，順守を求めている。この要件の背景には，特定の加盟店において発生したセキュリティ侵害事象が，プロセサーおよびサービス・プロバイダを介してほかの加盟店に影響を及ぼすことを避けるとともに，セキュリティ侵害事象が発生した場合には，その影響を最小限に食い止めることを意図したものであると考えられる。

ホスティング・プロバイダへの適用

　PCI DSSでは、ホスティング・プロバイダはサービス・プロバイダに含まれる。そのため，ホスティング・プロバイダも要件12.10を順守する必要がある。これに加えて，要件2.4で規定されるように，ホスティング・プロバイダは，PCI DSSの12の要件に加えて，以下に示す特別な要件を満たす必要がある。

　ここで，要件A1.4における「フォレンジック調査を提供するプロセス」とは，セキュリティ侵害事象が発生した場合において，各種の証跡資料を提供するためのプロセスのことである。例えば，データセンター建屋の入退館履歴あるいは侵害事象が確認されたデータイメージ情報の提供などがこれに該当する。このため，ホスティング・プロバイダは，このような証跡資料の証拠能力を担保するための管理策が必要となる。

　ホスティング・プロバイダは，複数の事業体のカード会員データ環境を単一の環境においてホスティングする場合が多い。このため，セキュリティ侵害事象がほかの事業体の環境に波及することを防止するために，このような追加要件を規定しているものと考えられる。さらに，ホスティング・プロバイダは，カード会員データ環境下にあるシステム構成要素に係る重要業務を受託する場合が多いため，特にこのような要件を定めてその順守を求めている。

　本要件はホスティング・プロバイダを対象としたものであるが，要件A.1.4については加盟店も留意する必要があると考えられる。すなわち，侵害事象が発生した際にホスティング・プロバイダに対して調査を実施することを，契約の面からも問題ない状態にしておく必要がある。

　要件A.1では，以下のような追記事項が規定されている。

　注記の事項は，PCI DSSの順守を求められる事業体が，その順守体制をホスティング・プロバイダに過度に依存することのないように警告しているものと考えられる。すなわち，関連業務のほぼすべてをホスティング・プロバイダに委託しているといえども，加盟店などの事業体には委託元としての管理責任が存在することを強く意識しなければならない。さらにPCI DSSでは，要件12のように事業体自身の要件への準拠が必要となる要件が存在することを忘れてはならない。