クレジットカード業界のグローバルなセキュリティ標準であるPCI DSSが、国内で盛り上がりの兆しが見えてきた。決済代行事業者がいち早く準拠したほか、EC(Electronic commerce=電子商取引)サイトなど、オンラインビジネスが中心の企業が積極的に準拠している。また、教育業界など異業種でも、広げようとする動きが出ている。これから準備を開始する企業も多いなかで、どのような製品やサービスにビジネスチャンスがあるのかを探った。
国内で認知が広がる
メリットを見出し、準拠拡大 セキュリティサービスの専門企業として「セキュリティ診断」「不正アクセス監視」、各種セキュリティソリューションの提供を行っているNTTデータ・セキュリティは、PCI DSSのQSA(認定審査機関)でもある。コンサルティング本部の鍋島聡臣・PCI推進室長は、「国内でQSAが増えるにつれ、PCI DSSの認知が進み、審査だけではなく、相談件数も増えてきた。企業が準拠することにメリットを見出したと感じている」と言う。企業内部で抱え込む傾向にあったセキュリティ問題だが、PCI DSSでは社内だけでは判断できない件もあって、外部の専門家に相談する動きが伸びるとみている。
NTTデータ・セキュリティ 鍋島聡臣 PCI推進室長
国内では、「法律ではない」「コストがかかる」と準拠に躊躇する企業があるのも事実。カード会社から要請されれば準拠せざるを得ないという認識はあるが、「加盟店契約」に明記されていないことや、IT予算の中からセキュリティ負担を捻出できないため、重要性を理解しながらも、「今年はまだいいのでは」と踏みとどまる企業も多い。その一方で、外資系企業や市場をけん引する企業は率先して準拠している。
国内でいち早く対応したのは、ECサイトなどに決済サービスを提供する決済代行事業者(プロセッサ)だ。外部に対して「安心して委託できる」ことを示す差異化の要素の一つになり得るからだという。また、EC事業者は、万一情報漏えい事故を起こせば信用を失い、売り上げや経営に深刻な影響をこうむる。SBIベリトランスなどの決済代行事業者や、インターネットに依存し、カード決済の割合が高い楽天などのECサイト企業は、積極的に準拠に取り組んでいる。さらに、首都圏のガソリンスタンドや百貨店、スーパーなどの実店舗でも準拠するところは増えている。
「教科書」としても有効
教育・自治体などで広める動きも PCI DSSは、カード情報に直接関係のない企業にとっても、企業が取らなければならないセキュリティ対策を網羅する「セキュリティの教科書」として使うことができるという。NTTデータ・セキュリティの川島祐樹・コンサルティング本部 PCI推進室 PCI推進グループ シニア・エキスパートは、「セキュリティをある一定のレベルに引き上げるのは、指標がないと難しい。PCI DSSには、例えば『パスワードの文字は7文字以上にする』などの細かい要件が記載されており、かつカード業界のセキュリティ対策なので、『対応すれば安心』という意味で教科書として使える」と説明する。
NTTデータ・セキュリティ 川島祐樹氏
ネットワンシステムズの子会社でQSAのビジネスアシュアランスでは、PCI DSS関連ビジネスとしてGAP分析サービスの引き合いが伸びている。山崎文明社長は「セキュリティ標準化を目指す複数の企業が、『まずは現状を把握したい』ということで、このGAP分析サービスを求めている」と手ごたえを語る。
ビジネスアシュアランス 山崎文明社長
米国では、例えばネバダ州が州法としてカード決済事業者のPCI DSS遵守を定める動きが注目を集めており、また罰則規定も相まって準拠が進んでいる。一方、日本では、カード加盟店の意識は高まってはいるものの、様子見のレベルだ。
ビジネスアシュアランスは、PCI DSSのDSS(データ・セキュリティ・スタンダード)の部分に着目。地方自治体や教育機関などに対して幅広く提案し、国内での普及を図る構えだ。調査活動や委員会活動など、関連団体の取り組みに積極的に参加。財団法人ニューメディア開発協会が受託した「自治体における情報セキュリティ対策の実装基準の在り方について」の調査事業者として参画したほか、財団法人コンピュータ教育開発センターの「教員のIT利用環境整備の調査研究」の検討委員会では、山崎社長が副委員長に就いている。「PCI DSSのように、民間から提唱した標準が公のガイドラインになったことは、これまで一度もない。長い道のりかもしれないが、このような取り組みでビジネスを軌道に乗せていきたい」と意欲を語った。
| PCI DSSとは |
Payment Card Industry Data Security Standard の略。VISA、MasterCard、American Express、Discover、JCBの国際カードブランド5社で発足した業界団体「PCI SSC(PCI Security Standards Council)」が策定したクレジット業界のグローバルなセキュリティ標準。カード情報の取引や保護について、12の要件を定める。
守るものは「クレジットカード情報」で、準拠の対象はクレジットカード情報を取得する可能性のある企業のすべて。カード加盟店はもちろん、業務を請け負うシステム開発・運用会社、場合によってはデータセンターも入るなど、幅広い。
これまでは、クレジットカードの16桁の数字は非個人情報として扱われ、重要な情報であるとの認識がなかった。しかし、ECではカード番号だけで買い物ができ、不正利用が増えてきた。カード決済の仕組みが損なわれる事態が出てきたため、PCI DSSが策定された。
準拠証明の必要があるのは、カード取り扱い件数の多い企業。本来、カード認証時のみに必要なセンシティブ認証データ(カード裏の3桁のセキュリティコードや磁気ストライプ、磁気ストライプに保持する暗証番号など)を加盟店が保存していると、本物のクレジットカードを作成できてしまう。そのためPCI DSSでは、データの廃棄証明を求めている。カード取り扱いが年間600万件以上の企業(レベル1加盟店)と年間100万~600万件までの企業(レベル2加盟店)は、今年9月末が廃棄の期限だった。
また、レベル1加盟店の完全準拠期限を来年9月末に設定。PCI DSSに準拠すると、万一情報漏えいが発生しても損害金額が免除される反面、期限までに証明しないと、加盟店ではなく、カード会社の下で加盟店を開拓・管理するアクワイアラにペナルティが課される。また、加盟店契約が変更になれば、加盟店にペナルティがかかる可能性もある。 |
[次のページ]
