日経メッセ > リテールテックJAPAN > 連載コラム > ポイント&電子決済 最前線 > 2010年、「PCI DSS」普及の波は来るか!?

連載コラム

2010年、「PCI DSS」普及の波は来るか!?

[ 2010年3月24日 ]

スキミングなどの偽造被害に加え
Webからのカード番号盗用が表面化

 日本クレジット協会(JCA)の調査によると、偽造以外も含めた国内のクレジットカードの不正利用被害額は2002年の291.4億円をピークに減少が続いたが、2008年は104.1億円に増加した。その原因は、海外でのスキミング、企業から流失した情報の悪用とされる。最近では、リアル店舗でのスキミングなどの偽造被害に加え、Webサイトから番号盗用されるなど、市場が拡大するインターネット決済における不正利用が目立っている。

 Visa、MasterCard、JCB、AmericanExpress、Discoverの5つの国際ブランドは、PCI DSS(Payment Card Industry Data Security Standard)というペイメントカードにおけるセキュリティ基準を制定している。表のようにPCI DSSは6項目12要件で構成され、国際ブランドが付与されたカード情報を処理、伝送、保存する加盟店、サービスプロバイダ(決済代行事業者)が対象となる。

 今やクレジットカードなどのペイメントカードは、数多くの流通店舗、EC店舗などで利用でき、Visa、MasterCard、JCBなどのブランドが搭載されているカードならば、世界中の加盟店で決済することが可能だ。しかし、国によってセキュリティの強度が異なると、生活者は安心してカード決済が利用できなくなるため、世界的に一定のセキュリティレベルを保つことが必要となる。その1つの基準としてPCI DSSが果たす役割は大きい。

 これまで国内においては、ビザ・ワールドワイド ジャパン(Visa)などのカードブランドが中心となり、加盟店開拓を行うカード会社と連携し、積極的にPCI DSSの啓蒙を行ってきた。

 VisaではPCI DSSに基づいた「AIS(Account Information Security)」の普及・啓蒙を実施。同様にMasterCard は「SDP(Site Data Protection)」、JCBは「JCBデータセキュリティプログラム」、AmericanExpressは「データセキュリティ運営方針(DSOP)」を推進している。

 各ブランドではサービスプロバイダ、加盟店の年間取引件数ごとにレベルを設定。VisaやMasterCardでは600万件を超える加盟店をレベル1、100万~600万件の加盟店をレベル2としている。例えば各ブランドのレベル1加盟店の場合、認定審査機関(QSA)による訪問審査を受けなければならない。

PCI DSSの6項目12要件
I. 安全なネットワークの構築・維持
 1. カード会員データを保護するためにファイアウォールを導入し、最適な設定を維持すること
 2. システムパスワードと他のセキュリティ・パラメータに、ベンダー提供のデフォルトを使用しないこと
II. カード会員データの保護
 3. 保存されたカード会員データを安全に保護すること
 4. 公衆ネットワーク上でカード会員データを送信する場合、暗号化すること
III. 脆弱性を管理するプログラムの整備
 5. アンチウィルス・ソフトウェアを利用し、定期的に更新すること
 6. 安全性の高いシステムとアプリケーションを開発し、保守すること
IV. 強固なアクセス制御手法の導入
 7. カード会員データへのアクセスを業務上の必要範囲内に制限すること
 8. コンピュータにアクセスする利用者毎に個別のIDを割り当てること
 9. カード会員データへの物理アクセスを制限すること
V. 定期的なネットワークの監視およびテスト
 10. ネットワーク資源およびカード会員データに対するすべてのアクセスを追跡し、監視すること
 11. セキュリティ・システム、および管理手順を定期的にテストすること
Ⅵ.情報セキュリティ・ポリシーの整備
 12. 情報セキュリティに関するポリシーを整備すること

国内はまだ30~40社
加盟店への浸透がカギに

 国内では2009年にQSAによる訪問審査を受けた企業の数は30~40社といわれている。結果的に、2008年に比べて完全準拠を達成した企業の数はそれほど増えていない。現状、完全準拠企業のほとんどがサービスプロバイダであり、大手ECモールのヤフーが「Yahoo!ウォレット」の決済環境で準拠した事例などはあるが、加盟店でPCI DSSを取得したケースは少ない。特にリアルの加盟店はPOSやカード決済端末などの入れ替えも想定されるため、準拠に苦慮しているのが現状だ。

 あるカード会社の担当者は「PCI DSSの準拠を進めている企業は数多くありますが、それなりの準備とコストがかかるため、経済状況が厳しい環境の中で一筋縄にはいかない状況です」と説明する。

 先行する米国ではレベル1加盟店の約85%、レベル2加盟店の約75%がPCI DSSに準拠しているという。マサチューセッツ州、テキサス州、カリフォルニア州などは州法でPCI DSSの遵守を義務化しており、数多くの加盟店が準拠することで対応コストを下げるノウハウも蓄積されている。実際、米国ではPCI DSSに対応したシステムの構築、審査にかかる費用は業務上必要なものと考える企業が多く、日本に比べ負担と捉えるところは少ない。日本の場合はブランドやアクワイアラ(加盟店開拓を行う会社)に準拠を押し付けられているというイメージが強く、カードセキュリティに対する意識がまだまだ低いのが現状だ。

PCI DSS V1.2の審査はシビアに
「カード会員情報非保持」に注目が集まる

 PCI DSSは2年に1度、基準自体をバージョンアップしている。現在のバージョンは PCI DSS Version1.2。今年の秋には新バージョンが発表される予定だ。

 Version 1.2への変更により、アンチウィルスソフトの対象範囲拡大、LAN環境へのペネトレーションテスト実施など、要求が厳しくなった項目がいくつかあった。昨年はVresion1.2の審査が国内ではじめて実施されたが、相対的には2008年までのVersion1.1よりも準拠に対するハードルが上がったように見受けられる。昨年の審査ではPCI SSC(PCI DSSの推進・管理組織)によるQSAに対する監査プログラムも実施された。米国では要件の過大評価、過小評価などにより、さまざまな問題が起きていることから、PCI SSCからエビデンスの開示要求があった場合には、審査した企業の報告書やログの提出を求められる。米国ではすでに複数の審査機関が認定の取り消しを受けており、国内で完全準拠を達成した企業からもQSAの要求が厳しくなったとの声が多く聞かれた。

 審査が厳しくなる一方で、加盟店の間ではECサイトで決済を行う際、決済方法を選択した後の処理を決済代行事業者側で行う「カード会員情報非保持(画面遷移型)」を導入する動きも目立つ。すべてのカード会員情報が決済代行事業者側のサーバで行われるため、カード会員情報を処理する必要がなく、PCI DSSにも対応しやすくなるなどのメリットがある。

iketani1003P01.gif
カード情報非保持サービス(画面遷移型)の例。カード決済の処理は決済代行事業者側で行うため、
「カード会員情報を持たない運用」が可能で、PCI DSSに準拠する要件が緩和される
(出典:PCI DSS Version1.2徹底解説)

日本カード情報セキュリティ協議会が設立
国際ブランドが遵守期限を設定

 国内のPCI DSSを取り巻く環境はいろいろな課題を抱えながらも、徐々にではあるが浸透しつつある。2009年4月には「日本カード情報セキュリティ協議会(JCDSC)」が設立。QSAやベンダーなどが定期的に集い意見交換を行うなど、普及に向けた活発的な議論が行われている。

 国際ブランドでもVisaが2010年9月末までにレベル1加盟店、MasterCardが2011年6月までにレベル1、レベル2加盟店に準拠期限を設定した。また改正割賦販売法の施行により、加盟店のカード会員情報の取り扱いに対する監督責任がカード会社に生まれたことも普及を後押しするだろう。このような背景から、今年、来年にかけてPCI DSSの普及に弾みがつくと考えてよさそうだ。

ポイント&電子決済 最前線
執筆者:池谷 貴

株式会社TIプランニング代表取締役。
コピーライター、編集などの仕事を経て、カード業界誌の版元に入社。ディレクターとして雑誌編集、プランニング、セミナー、展示会などの運営に携わった。雑誌に関しては、電子決済、PCI DSS/カードセキュリティ、ICカード、ICタグなどのガイドブック制作を統括する。2009年11月にマーケティング、カード・電子決済、IT・通信サービスなどのコンサルティング、調査レポート・書籍の発行、セミナー運営、ポータルサイト運営などのサービスを手掛ける株式会社TIプランニングを設立した。

バックナンバー

PAGE TOP