ニュース
» 2011年01月25日 08時10分 UPDATE

国内企業のPCI DSSへの対応、2011年から本格化の見通し

カード業界のセキュリティ基準「PCI DSS」に準拠する動きが北米に続いて、欧州や中国でも拡大しているという。国内では2011〜12年に本格化するとの見通しだ。

[國谷武史,ITmedia]
pci001.jpg 山崎文明氏

 ネットワンシステム子会社のビジネスアシュアランスは1月24日、カード業界のセキュリティ基準「PCI DSS」の最新動向に関する記者説明会を開催した。国内の推進団体「PCI SSC PO Japan連絡会」の会長を務める山崎文明氏が海外と国内の状況を説明した。

 PCI DSS(Payment Card Industry Data Security Standard)は、クレジットカードやデビットカードなどの情報を取り扱う事業者(カード発行会社や加盟店など)を対象としたセキュリティ基準。2010年10月に最新のVersion2.0が公表され、今年1月に有効化された。米国では2006年ごろから準拠する企業が増加している。

 山崎氏は、2010年9〜10月に米国とスペインでそれぞれ開催された地域会合に出席。欧州ではカード発行会社や決済代行などを手掛けるサービス事業者の準拠対応が進みつつあることが報告された。アジアでは、特に中国の金融機関での準拠対応が加速しており、「日本以上に進んでいる状況」(山崎氏)という。日本国内は準拠対応する企業が現れ始めているという具合だ。

 米国での会合では、Version2.0の概要や運用体制の変更、注目されるセキュリティ技術などが話題に上った。これらは、既に準拠対応している企業が抱える課題を踏まえての取り組みだという。

 Version2.0では、要件事項の明確化や適用に関する柔軟性の向上などが特徴となっている。また、PCI DSSの更新期間が従来の2年から3年に変更された。推進団体「PCI SSC」のジェネラルマネジャー、ボブ・ロッシ氏によれば、これらの変更はPCI DSSがセキュリティ基準として成熟化されたことを受けてのことだとしている。山崎氏は「セキュリティの脅威は常に変化する。専門家の立場で言えば、運用が“緩く”なってしまった感があり、残念だ」と語った。

 山崎氏によれば、PCI DSSの普及には準拠対応する企業のコストと、地域における商流の違いが課題だと指摘する。

 例えば準拠対応が進む米国では、46の州でPCI DSSの準拠を対象企業に求める州法が施行されており、PCI DSSへの準拠が事実上、義務化されている州もある。また、2009年に流通業界がPCI DSSへの準拠に要した費用は10億ドルにも上ると言われる。「実際にカード情報が漏えいすれば莫大な損害が生じるため、PCI DSSへの準拠を考える企業経営者が少なくない。だが、厳しい経済情勢では準拠に必要なコストであっても大きな負担」(山崎氏)というのが実情のようだ。Version2.0の内容や見直し期間の変更は、こうした準拠する企業側の負担を考慮したことがあるという。

 PCI DSSの準拠に必要なコストを削減する方法として、PCI SSCでは5つの技術に関するガイドラインの導入準備(一部は導入済み)を進めている。5つの技術とは、「トークン化」「暗号化」「仮想化」「ワイヤレス」「チップベースのペイメントカード」というもので、特に山崎氏が注目するのがトークン化である。

pci002.jpg トークン化によるメリット(山崎氏のプレゼンテーション資料より)

 トークン化とは、元の数字を数学的に関連性のない数字に置き換えるもので、カードの場合は元のカード番号の数列の一部もしくは全部を異なる数列に置き換える。元のカード番号とトークン化した番号を照合する仕組みが新たに必要になるが、トークン化した番号で処理を行うようにすれば、PCI DSSの対象となるシステムの数が減り、対策や審査などに伴うコストを削減できる。トークン化した番号が漏えいしても、トークン化した番号自体はカード番号ではないため、情報漏えい事故に当たらないとされる。カード番号をトークン化する手段は、国内でも数社が提供を開始しており、米国ではSaaS形態での利用も増えつつある。

 商流の違いについて、欧米では加盟店契約会社とカード発行会社が異なるが、国内は同一の企業である場合が大半である。欧米では一方で情報漏えい事故が発生すれば、もう一方が損害賠償請求などの訴訟を起こすことができる関係にあるため、PCI DSSの準拠によって訴訟リスクを回避しようという意識が浸透している。国内での訴訟リスクは小さく、PCI DSSの準拠について様子見する企業が少ないと山崎氏は指摘する。

 しかし、国内でも2010年後半からカード会社のPCI DSS準拠の動きが加速している。大手各社が取り組みを表明したことで、業界内のムードが高まりつつある。「この1年でカード会社の対応が一気に進むだろう。それを受けて、2012年以降は加盟店も準拠を急ぐようになる」と山崎氏は予測している。

企業向け情報を集約した「ITmedia エンタープライズ」も併せてチェック

Copyright© 2017 ITmedia, Inc. All Rights Reserved.

ピックアップコンテンツ

- PR -

注目のテーマ

マーケット解説

- PR -