1月24日、ネットワンシステムズのグループ会社であるビジネスアシュアランスは、クレジットカード業界のデータセキュリティ基準「PCI DSS」に関する勉強会を開催。同社社長で、PCI SSC PO Japan連絡会会長の山崎文明氏が登壇した。
PCI DSS(Payment Card Industry Data Security Standard)は、2年ごとに内容を見直し、更新することになっており、2010年10月28日(米国時間)に最新版であるVersion 2.0が公表されている。
この2.0では、規格文書の再編集による記載内容の明確化、適用の柔軟性の増加など、前バージョン(1.2)の微調整となっている。最大のポイントは、「(最初の)作成から6年が経ち成熟している」との理由から、見直し期間が2年から3年に延長されたこと。もっとも、セキュリティ状況は刻々と変化しているのに、期間を延ばすのは詭弁ではないかという意見もあるようだ。
加えて2.0では、カード加盟店がPCI DSSに準拠する際に満たすべき条件について、柔軟性の向上が図られている。柔軟性向上としてはいるが、山崎氏によれば「(基準を)ゆるくした」ものだという。
米国の多くの州ではデータ漏えい時にも免責されるなど、PCI DSS準拠のメリットは大きい。一方で準拠のためのコストも大きな問題だ。2009年には米国の小売業やレストラン、ホテルなどの業界7団体が連名で、PCI SSCトップのボブ・ロッソ氏に対し、負担軽減を求めるメッセージを送っている。
PCI DSSに準拠するには、カード情報と一般情報の分割管理体制の確立、WAF(Web Application Firewall)の導入、POSレジの入れ替えなど多くのコストがかかる。2009年に米国の流通業がPCI DSS準拠のために投資した費用は10億ドル(約830億円)にも上ったという。これは、大手企業だから負担可能なコストであり、多くの中小企業は耐えきれない。こうした状況に対処するため、2.0では見直し期間の延長や基準の緩和が行なわれたのだ。
PCI DSSへの対応は、北米や欧州では進んでおり、中国も大手商業銀行の中国銀行の対応を皮切りに普及しつつある。
出遅れているのが日本で、導入を推進すべきカード発行会社(イシュアー)が対応しないため、加盟店の対応も進んでいないという。しかし、大手イシュアーである三井住友カードが対応を表明しており、他社も追従すると見られる。2011年は日本でもPCI DSS普及元年となりそうだ。