前述のとおりクレジットカード情報の流出をしてしまった加盟店は、事故後の対応で非常に多額の費用と作業を伴う。その一方で事故後もビジネスは継続していかなければならない。カード情報の流出事故を起こした加盟店は、いったんカードの取り扱いが停止になる。
そのため、事業の継続のためには1日も早くカード取引を再開しなければ売り上げに影響が出てくる。ECサイトなどの加盟店であれば、決済手段としてクレジットカード決済を取り上げられると、その影響は店舗型の加盟店以上に深刻である。
そこで契約するクレジットカード会社(アクワイアラ)が再開の条件の1つとして事故を起こした加盟店に要求するのが、「PCIデータセキュリティ基準(Payment Card Industry Data Security Standard:PCI DSS)」への完全準拠であり、その評価は第三者機関が実施することとしている。
このPCI DSSは、5つの国際カードブランドが2006年9月にクレジットカード情報保護の監査基準を統一して発行したものである。5つのカードブランドが設立した米国の組織であるPCIセキュリティ基準審議会(PCI SSC)が全世界標準の基準を発行管理し、各国でのプログラムの推進は各国のカードブランドが推進することになっている。5つのカードブランドの世界のシェアを合計すると90%に到達することから事実上のスタンダードとなっている。すでに米国では、複数の州法において加盟店およびサービスプロバイダと呼ばれている決済代行事業者やデータ処理会社などに対して、PCI DSSへの準拠が義務化されている。
クレジットカード情報の取り扱いについては、2005年4月に施行された個人情報保護法の第20条の安全管理措置に関するガイドラインが、所管の官庁である経済産業省から発行されており、以下のように記載されている。
「クレジットカード情報については、別添の『クレジットカード情報を含む個人情報の取扱いについて』に掲げられた措置を講じることが望ましい」
以下は「クレジットカード情報を含む個人情報の取扱いについて」に挙げられたものである。
また、次のように「クレジットカード情報を含む個人情報の取扱いについて」における各項目を実践するために望まれる手法について例示している。
米国では、前述したように、複数の州(マサチューセッツ州、ミネソタ州、テキサス州、カルフォルニア州)でPCI DSSの遵守を州法により義務化しているが、国内でも2008年6月に改正割賦販売法が可決された。
クレジットカードの根拠法となるのは割賦販売法である。同法によりクレジットカード情報を安全に管理する義務は加盟店募集のクレジットカード会社(アクワイアラ)にあるとし、違反した場合は、アクワイアラに対して所管の経済産業省から行政処分を下せるよう法改正された(同法35条の16 クレジットカード番号等の適切な管理等、第35条の17 改善命令)
国内では、主に2つの情報セキュリティの認定認証制度が普及している。2008年11月現在、プライバシーマークが約1万法人、ISMS/ISO 27001が約3000組織、認証されている。特にISO 27001はわが国における認証組織数は全世界でダントツの1位であり、世界最高水準の情報セキュリティ国家であるといえる。
この両基準は情報保護の業務プロセス自体を審査、認証するのに対し、PCI DSSは情報システム自体の実装レベルを審査する点が異なる。またISMSが組織のリスク分析の結果、実装する管理策はその組織が定める水準であるのに対し、PCI DSSの実装レベルは、絶対的な水準が定められている(例えば無線LANの暗号化レベルや検査するべき脆弱性の種類など)ことも違う。
一方ISMSとは、基準の性格や背景が異なってはいるものの、要求している要素自体は非常に似通っている。ISMS認証制度の認定機関である財団法人日本情報処理開発協会(JIPDEC)からも産業別のISMSユーザガイドとして『クレジット産業向けISMSユーザズガイド』が発行されている。このガイドにはPCI DSSとISMSの133の管理策との対比表により、約80%が重複していることが示されている。要求レベルの具体性に関しては、ISMSは汎用的に全業種に適用することを目的としているが、PCI DSSはクレジット産業向けの技術的な実装基準であると述べている。
外部リンク
▼クレジット産業向けISMSユーザズガイド[PDF](日本情報処理開発協会)
情報セキュリティ基準に熱心な日本においてPCI DSSの普及啓発活動は2008年になってから活発化しており、基準の発行管理をする組織であるPCI SSCから承認を受けた認定セキュリティ評価機関(QSA)は、2008年の3月までは国内では1社しかない状況であったが、2008年4月から2009年にかけて筆者が属する会社を含め、新規に4社(うちISMSの認証機関が2社)が承認を受けた。
また、これまで日本語の文献が不足していることも普及の足かせになっていたが昨年、日本語で初の書籍として『PCIデータセキュリティ基準完全対策』(ネットワンシステムズ、NTTデータセキュリティ、ビザインターナショナルアジアパシフィックリミテッド=著/山崎文明=監修)が発売されている。これも参考になるだろう
次回は、具体的にPCI DSSがどのような業種に必要とされているのか、また同基準が具体的に要求している内容について解説したい。
瀬田 陽介(せた ようすけ)
国際マネジメントシステム認証機構 代表取締役社長
財団法人日本情報処理開発協会(JIPDEC)から認定を受けるISMS認証機関の代表。2008年3月よりPCI DSSの認定セキュリティ評価機関(QSA)としても認定を受けている。PCI DSSに関しては、多数のセミナー講師や執筆をしている。
Copyright © ITmedia, Inc. All Rights Reserved.