クレジットカード業界の情報セキュリティを学ぶ：PCIデータセキュリティ基準は使えるか？（1）（2/2 ページ）

[瀬田 陽介，国際マネジメントシステム認証機構]

クレジットカード情報保護のデファクトスタンダード

　前述のとおりクレジットカード情報の流出をしてしまった加盟店は、事故後の対応で非常に多額の費用と作業を伴う。その一方で事故後もビジネスは継続していかなければならない。カード情報の流出事故を起こした加盟店は、いったんカードの取り扱いが停止になる。

　そのため、事業の継続のためには1日も早くカード取引を再開しなければ売り上げに影響が出てくる。ECサイトなどの加盟店であれば、決済手段としてクレジットカード決済を取り上げられると、その影響は店舗型の加盟店以上に深刻である。

　そこで契約するクレジットカード会社（アクワイアラ）が再開の条件の1つとして事故を起こした加盟店に要求するのが、「PCIデータセキュリティ基準（Payment Card Industry Data Security Standard：PCI DSS）」への完全準拠であり、その評価は第三者機関が実施することとしている。

　このPCI DSSは、5つの国際カードブランドが2006年9月にクレジットカード情報保護の監査基準を統一して発行したものである。5つのカードブランドが設立した米国の組織であるPCIセキュリティ基準審議会（PCI SSC）が全世界標準の基準を発行管理し、各国でのプログラムの推進は各国のカードブランドが推進することになっている。5つのカードブランドの世界のシェアを合計すると90％に到達することから事実上のスタンダードとなっている。すでに米国では、複数の州法において加盟店およびサービスプロバイダと呼ばれている決済代行事業者やデータ処理会社などに対して、PCI DSSへの準拠が義務化されている。

国内における法律およびガイドライン整備

　クレジットカード情報の取り扱いについては、2005年4月に施行された個人情報保護法の第20条の安全管理措置に関するガイドラインが、所管の官庁である経済産業省から発行されており、以下のように記載されている。

　「クレジットカード情報については、別添の『クレジットカード情報を含む個人情報の取扱いについて』に掲げられた措置を講じることが望ましい」

　以下は「クレジットカード情報を含む個人情報の取扱いについて」に挙げられたものである。

1. クレジットカード情報などについて特に講じることが望ましい安全管理措置の実施
2. クレジットカード情報などの保護に関する規定を含む契約の締結
3. クレジットカード情報などを直接取得する場合のクレジットカード情報などの提供先名などの通知または公表

　また、次のように「クレジットカード情報を含む個人情報の取扱いについて」における各項目を実践するために望まれる手法について例示している。

1. クレジットカード情報などについて特に講じることが望ましい安全管理措置の実施
2. クレジットカード情報などについて、利用目的の達成に必要最小限の範囲の保存期間を設定し、保存場所を限定し、保存期間経過後適切かつ速やかに破棄
3. クレジット売上伝票に記載されるクレジットカード番号を一部非表示化
4. クレジットカード読み取り端末からのクレジットカード情報などの漏えい防止措置を実施（例えば、クレジットカード読み取り端末にはスキミング防止のためのセキュリティ機能――漏えい防止措置など――を搭載するなど）
5. クレジットカード情報などを移送・送信する際に最良の技術的方法を採用
6. ほかのクレジットカード販売関係事業者などに対してクレジットカード情報などが含まれる個人情報データベースなどへのアクセスを許容している場合においてアクセス監視などのモニタリングを実施

　米国では、前述したように、複数の州（マサチューセッツ州、ミネソタ州、テキサス州、カルフォルニア州）でPCI DSSの遵守を州法により義務化しているが、国内でも2008年6月に改正割賦販売法が可決された。

　クレジットカードの根拠法となるのは割賦販売法である。同法によりクレジットカード情報を安全に管理する義務は加盟店募集のクレジットカード会社（アクワイアラ）にあるとし、違反した場合は、アクワイアラに対して所管の経済産業省から行政処分を下せるよう法改正された（同法35条の16 クレジットカード番号等の適切な管理等、第35条の17 改善命令）

ほかのセキュリティ基準／規格との対比

　国内では、主に2つの情報セキュリティの認定認証制度が普及している。2008年11月現在、プライバシーマークが約1万法人、ISMS／ISO 27001が約3000組織、認証されている。特にISO 27001はわが国における認証組織数は全世界でダントツの1位であり、世界最高水準の情報セキュリティ国家であるといえる。

　この両基準は情報保護の業務プロセス自体を審査、認証するのに対し、PCI DSSは情報システム自体の実装レベルを審査する点が異なる。またISMSが組織のリスク分析の結果、実装する管理策はその組織が定める水準であるのに対し、PCI DSSの実装レベルは、絶対的な水準が定められている（例えば無線LANの暗号化レベルや検査するべき脆弱性の種類など）ことも違う。

　一方ISMSとは、基準の性格や背景が異なってはいるものの、要求している要素自体は非常に似通っている。ISMS認証制度の認定機関である財団法人日本情報処理開発協会（JIPDEC）からも産業別のISMSユーザガイドとして『クレジット産業向けISMSユーザズガイド』が発行されている。このガイドにはPCI DSSとISMSの133の管理策との対比表により、約80％が重複していることが示されている。要求レベルの具体性に関しては、ISMSは汎用的に全業種に適用することを目的としているが、PCI DSSはクレジット産業向けの技術的な実装基準であると述べている。

外部リンク
▼クレジット産業向けISMSユーザズガイド［PDF］（日本情報処理開発協会）

現在の日本におけるPCI DSSの普及状況

　情報セキュリティ基準に熱心な日本においてPCI DSSの普及啓発活動は2008年になってから活発化しており、基準の発行管理をする組織であるPCI SSCから承認を受けた認定セキュリティ評価機関（QSA）は、2008年の3月までは国内では1社しかない状況であったが、2008年4月から2009年にかけて筆者が属する会社を含め、新規に4社（うちISMSの認証機関が2社）が承認を受けた。

PCIデータセキュリティ基準完全対策――PCI Data Security Standard

日経BP社
2008年4月
978-4822262235
→注文ページへ

　また、これまで日本語の文献が不足していることも普及の足かせになっていたが昨年、日本語で初の書籍として『PCIデータセキュリティ基準完全対策』（ネットワンシステムズ、NTTデータセキュリティ、ビザインターナショナルアジアパシフィックリミテッド＝著／山崎文明＝監修）が発売されている。これも参考になるだろう

　次回は、具体的にPCI DSSがどのような業種に必要とされているのか、また同基準が具体的に要求している内容について解説したい。

筆者プロフィール

瀬田 陽介（せた ようすけ）

国際マネジメントシステム認証機構 代表取締役社長

財団法人日本情報処理開発協会（JIPDEC）から認定を受けるISMS認証機関の代表。2008年3月よりPCI DSSの認定セキュリティ評価機関（QSA）としても認定を受けている。PCI DSSに関しては、多数のセミナー講師や執筆をしている。