クレジットカード業界のセキュリティ標準「PCI DSS」が、着実な盛り上がりを見せている。今年2月には、PCI DSSを定める業界団体「PCI SSC」に参加する企業(PO)を中心に「PCI SSC PO Japan連絡会」が発足。情報交換などによって、PCI DSSの正しい解釈・理解を促すことを活動の一つとして展開する。見逃せないのは、カード業界以外にも、準拠の動きが出てきている点だ。
連絡会が発足、啓蒙活動に乗り出す
「PCI DSS」とは、2004年に策定されたクレジットカード業界(Payment Card Industry)のデータ保護基準(Data Security Standard)。複数のカード会社と契約する店舗が、それぞれのカード会社独自のデータ保護基準に則らなければならないという煩雑さ、コスト負担を避けるために、国際団体「PCIセキュリティスタンダード協議会(PCI SSC)」が業界統一の基準として策定した。
現在12社が参加する「PCI SSC PO Japan連絡会」は、「PCI SSC」に参加するカード各社やQSA(認定審査機関)、業界関連団体、関連省庁との交流・連係を行い、カード情報の保護に取り組む。PCI DSSの解釈の違いによる損失を防ぐため、監査結果の収集やQSAと話し合いを行い、同連絡会ホームページに「正しい解釈」を掲載する活動や技術者育成なども行っている。
PCI DSSの実際の運用には、業界の複雑な構造が災いして、難しい側面がある。例えば監査対象についても、「国内では決済代行で30社ほど、決済トランザクション数などにより異なるが、QSAの監査が必須な加盟店は100社は存在するのではないか」と同連絡会会長を務めるネットワンシステムズの山崎文明フェローは話す。
「日本は『マルチアクワイアリング』といって、加盟店が複数のカード会社と別々に契約するケースが多いため、決済処理が各社に分散し、監査対象加盟店が把握しづらい」と指摘する。また、PCI DSSに準拠するには加盟店の投資が必要だが、「ブランドやカード会社同士の競争で準拠要請のレベルに差があることは確かだ」(同)という。
ただ、セキュリティ保護基準として、普及の見通しは明るい。PCI DSSは、具体的な実装レベルでのセキュリティを定めている。例えば「テストの回数と実施時期」や「暗号化の鍵の管理手順」「ロックアウトするまでの不正なログオン試行の回数」など、カード会社だけでなく、一般企業にも当てはまるリスクマネジメント施策を示している。個人情報やクライアント情報を扱うデータセンター事業者やネット事業者など、クレジットカード以外の業界がセキュリティの指標として取り入れ、準拠しようとする動きがあるのだ。山崎会長は「将来的にはPCI DSSの市場はすそ野が広がり、右肩上がりの成長を続けるだろう」とみている。(鍋島蓉子/安藤章司)
アカマイ
PCI DSS対応で先行 データ通信支援サービスのアカマイは、オンラインゲーム会社との協業を強化する。今回の協業では、オンラインゲームの主要な決済方法であるクレジットカード決済をアカマイの通信基盤を使って円滑に行うことを主眼とする。ゲーム会社がアカマイの提供するPCI DSSに準拠したネットワークを活用することで、クレジットカード会社から求められているセキュリティ基準をクリアするのが狙いだ。データ容量が大きいオンラインゲームや動画サイトは、かねてからアカマイのインフラを活用するケースが多かった。PCI DSS対応への需要の高まりによって、高度なセキュリティを求める企業の需要取り込みが可能になる。アカマイの小俣修一社長は「当社のビジネスに追い風」と、意気込む。
