アクセス権は業務上の必要範囲に制限しなければならないPCI DSSは,クレジットカードのカード情報および取引情報を保護するために,六つの目的と,それに関する12個のデータ・セキュリティ要件を定めている。各要件には,各要求事項を実現するための詳細な管理策が規定されている。今回は要件7,要件8,要件9の概要について述べる。この三つの要件は「アクセス制御」を目的とし,その目的を実現するためにそれぞれ,「アクセス制御」「アカウント管理」「物理アクセス」を定めている。 要件7 カード会員データへのアクセスを業務上の必要範囲内に制限すること 要件8 コンピュータにアクセスする利用者毎に個別のID を割り当てること 要件9 カード会員データへの物理的アクセスを制限すること ここでは「最小権限の原則」(「知る必要性」「Need to Know」と呼ばれる場合もある)を要求している。最小権限の原則とは「任命された業務を遂行するために必要な最小限のアクセス権の
