VISA、カード情報漏えい防止に世界基準

[岡田有花，ITmedia]

　VISA Internationalは5月18日、同社のクレジットカード情報の漏えいを防止する「アカウント情報セキュリティ（AIS）プログラム」を策定したと発表した。世界2000万店舗以上、国内200万店舗以上のビザ加盟店や決済機関にセキュリティ診断などを義務付ける。

　情報取扱者の採用方針やデータへのアクセス方法、ウイルス対策、データ破棄の方法など計15種類の基準を設け、セキュリティを強化する。

　加盟店や決済機関がカード情報管理体制を無料で自己診断できるWebサイトを18日から公開、利用を義務付ける。診断結果は500点満点で採点されるが「何点以上でクリアするという基準はなく、セキュリティ対策の参考にしてもらうための診断」（同社のインゴ・ノカ リスクマネージメント新技術・新商品リスク担当責任者）。

自己診断サイトの診断結果レポートの一部。各設問に関連したセキュリティ対策法を解説する

　カード情報取り扱い数が月間1万を超える事業者はさらに、NTTデータ・セキュリティによるオンラインセキュリティ診断（有料）を受ける必要がある。取り扱い数が5万を超える事業者は、ビザが認定した評価機関による監査（同）も受けねばならない。

　「診断や監査の結果、セキュリティ対策が不十分だと判断された場合は対策をとってもらうが、特にペナルティなどは発生しない。ただし、審査を受けなかった事業者が情報漏えいを起こした場合は、損害賠償を請求する可能性がある」（同社広報のダニエル・リンツ氏）。

　各加盟店がAISに準拠しているかどうかは「AIS未準拠の加盟店への攻撃を防ぐため」（ノカ リスクマネージメント新技術・新商品リスク担当責任者）公開しないとしている。

　同日都内で開かれた発表会に同席した経済産業省情報セキュリティ政策室の印南朋浩室長は、「クラッカーなど、外部からの攻撃による情報漏えいは意外と少なく、社内の情報管理の不備や、内部の人間による窃盗が情報漏えいの8割を占める」との調査結果を紹介し、情報管理の重要性を訴えた。