1月24日、ネットワンシステムズのグループ会社であるビジネスアシュアランスは、クレジットカード業界のデータセキュリティ基準「PCI DSS」に関する勉強会を開催。同社社長で、PCI SSC PO Japan連絡会会長の山崎文明氏が登壇した。
PCI DSSの最新事情を解説するビジネスアシュアランス代表取締役社長の山崎文明(やまざき 踏みあき)氏
PCI DSS(Payment Card Industry Data Security Standard)は、2年ごとに内容を見直し、更新することになっており、2010年10月28日(米国時間)に最新版であるVersion 2.0が公表されている。
PCI DSSは、国際的なカードブランド5社など構成される「PCI SSC(Security Standard Council)」が策定するセキュリティの“最低水準”となる
この2.0では、規格文書の再編集による記載内容の明確化、適用の柔軟性の増加など、前バージョン(1.2)の微調整となっている。最大のポイントは、「(最初の)作成から6年が経ち成熟している」との理由から、見直し期間が2年から3年に延長されたこと。もっとも、セキュリティ状況は刻々と変化しているのに、期間を延ばすのは詭弁ではないかという意見もあるようだ。
PCI DSS Ver.2.0のポイント
加えて2.0では、カード加盟店がPCI DSSに準拠する際に満たすべき条件について、柔軟性の向上が図られている。柔軟性向上としてはいるが、山崎氏によれば「(基準を)ゆるくした」ものだという。
米国の多くの州ではデータ漏えい時にも免責されるなど、PCI DSS準拠のメリットは大きい。一方で準拠のためのコストも大きな問題だ。2009年には米国の小売業やレストラン、ホテルなどの業界7団体が連名で、PCI SSCトップのボブ・ロッソ氏に対し、負担軽減を求めるメッセージを送っている。
PCI DSSのメリットと問題点とは?
PCI DSSに準拠するには、カード情報と一般情報の分割管理体制の確立、WAF(Web Application Firewall)の導入、POSレジの入れ替えなど多くのコストがかかる。2009年に米国の流通業がPCI DSS準拠のために投資した費用は10億ドル(約830億円)にも上ったという。これは、大手企業だから負担可能なコストであり、多くの中小企業は耐えきれない。こうした状況に対処するため、2.0では見直し期間の延長や基準の緩和が行なわれたのだ。
PCI DSSへの対応は、北米や欧州では進んでおり、中国も大手商業銀行の中国銀行の対応を皮切りに普及しつつある。
PCI SSCへの加盟状況。北米が断然に多い状態だ
出遅れているのが日本で、導入を推進すべきカード発行会社(イシュアー)が対応しないため、加盟店の対応も進んでいないという。しかし、大手イシュアーである三井住友カードが対応を表明しており、他社も追従すると見られる。2011年は日本でもPCI DSS普及元年となりそうだ。
国内では2011年にはカード会社が、2012年には加盟店のPCI DSS対応が進むと見られる
