Enterprise Watch
バックナンバー

VISAに聞く、実装レベルのカードセキュリティ基準「PCI DSS」【後編】

割販法改正案がもたらす光と闇

ビザ・ワールドワイド カントリーリスクダイレクターの井原亮二氏
 前編ではPCI DSSの仕組みについて紹介したが、後編では運営団体や、PCI DSSを取り巻く状況について紹介する。この1年でPCI DSSには大きな動きがいくつか見られた。そうした中、PCI DSSが世の中に普及していくためにはどういったことが必要なのか。前編に引き続き、ビザ・ワールドワイド カントリーリスクダイレクターの井原亮二氏に伺う。


基準の管理を行う機関「PCI SSC」

各プレイヤーの相関図(ネットワン提供)
 PCI DSSが、VISA/MasterCard/JCB/American Express/Discover Financial Services、5ブランド共通のものとなった後、2006年9月に、その運営を行う独立機関「PCI SSC(PCI Security Standards Council)」が、5社により設立された。5ブランドを中心に、多くの「パーティシパント」が登録されており、日本でも6月にネットワンが加盟を発表。そのほかにも、POSベンダーの東芝テック、プロセサのSBIベリトランスなども登録済みなほか、グローバルでは100社近くがパーティシパントとして活動しているという。

 では、PCI SSCの役割とは何であろうか。

 主には「基準の策定・運用」と「審査機関・ツールの認定」の2つが挙げられる。前者では項目の見直しを行うわけだが、「パーティシパントが当事者の立場からかかわって、各項目について現実的ではないなど発言、基準更新に貢献できるようになっている」(井原氏)。後者では、主にカード加盟店などにおける準拠に向けた取り組みに対して評価を行う審査機関を認定する。「日本ではすでに10社ほどのセキュリティコンサルタントおよびベンダー、ISMS審査機関などが認定されている」(同氏)という。

 その認定には、「厳密な要件・条件が課せられており」(同氏)、どんな企業でも手軽になれるわけではない。「もし、PCI DSSが認定された事業者から流出事件があった場合、認定を与えた審査機関にも一定の範囲で責任が生じる」というのだから、それもそのはず。審査機関になるためには、各種条件を定めた要件書をクリアした上で、賠償責任に発展する可能性も考慮して「経営体力が求められる」という。

 技術審査員は最低2名必要となり、その登録についても、有効な資格を保有しているかなど適任性が確認される。また、年次のトレーニングやテストも用意されており、ここで明らかな問題が生じれば、次年度の更新は中止となる。さらに審査機関の対応の質を、審査を受けた側がPCI SSCにレポートするフィードバック方式も採用しているというから、審査機関になるのはなかなか大変である。その分、審査の厳正さが担保されている、ということがいえる。


ISMSとPCI DSS「統合レビュー」へ

 ちなみに、ISMS審査機関がPCI DSS準拠の審査を行うようになった背景には、1つのエピソードがある。ISMSは、情報セキュリティの質を維持・管理していくための組織・管理体制に主眼が置かれている。一方、PCI DSSはカード情報保護のための実装レベルの要件が定義されており、両者は相互補完の関係にあると考えられている。

 両者には重複する部分も多いため、その差分を明らかにする「クレジット産業向けISMSユーザーズガイド」なるものが、VISA・JCB・JIPDEC(日本情報処理開発協会)により作成されている。一方、ISMSとPCI DSS双方に順守するためにはそれぞれに年次の訪問審査などが必要となり、受診企業の負担は相変わらず大きい。そこで年次レビューに関しても、統一しようという動きが起きた。

 レビュー統一のためには、同一審査機関が双方の審査資格を取得しなければならない。ところが当初、PCI DSSの審査には結果に対する「無限責任」が課せられたため、既存のISMS審査機関には受け入れがたい話であった。そこでVISAとJIPDECはISMS審査機関とともに、PCI SSCに日本限定で無限責任条項の見直しを要求した結果、現在では日本限定で活動する審査機関に限り、無限責任条項が緩和されている。

 こうした努力により、現在、数社のISMS審査機関がPCI SSCとの統一レビューを行える状況にあるという。


日本と海外の「普及状況」

 ところで、PCI SSCの役割の中に今のところ「普及活動」は含まれていない。井原氏は「PCI SSCが前面に出て普及促進を図った方が良いという意見もあるが、現時点ではそういう考え方になっておらず、各ブランド、カード会社、国単位で普及していこうという流れ」という。

 では実際、普及状況はどうなのか。業界への普及については、「この1年で主要プロセサや大手加盟店が対応への取り組みを開始するなど、PCI DSSの認知は進んでいる」(同氏)と評価する。

 一方、一般消費者に向けては、「カード加盟店の店舗などに、PCI SSC準拠の認証ロゴなりポスターなりを掲示して普及していくつもり」(同氏)としているのだが、このロゴ、実はPCI SSCで管理されるような標準のものは存在せず、現状は審査機関が個別にそれぞれのデザインで発行している状況なのだという。

 一般消費者への周知には、統一ロゴがあった方が都合がいいはずだ。一般消費者があちこちの店で同じロゴを目にすることで、徐々にロゴのマークが覚えられれば、認知も進むことだろう。その結果、一般消費者に“このロゴがあるところならカードを使っても安心”という意識が広がれば、おのずとPCI DSS準拠は潮流となろう。例えば、PCI SSCが標準ロゴを作成するという予定はないのか。井原氏は「現時点でそういう話はない。しかし、さまざまな意見を聞きながら、将来的にどうするか議論する余地はある」としている。

 海外での普及状況はどうか。当然、日本より進んでおり、米国では2007年からマサチューセッツ州(2月)、テキサス州、カリフォルニア州(5月)など、各州においてPCI DSS準拠を促す法案が提出されている。これらは、事業者へ準拠を強制するものではなく、「損害賠償の免責」を明示することで準拠を促すものだが、ミネソタ州などでは全米で初めてPCI DSSを義務化し、準拠していない場合は刑事罰も辞さないとする法令が制定されている。


決済アプリのセキュリティ基準「PA-DSS」

PABP(PA-DSS)の14要件
 普及で課題となるのが、POS加盟店への推進だ。大規模なセキュリティ対策が必要となるPCI DSSに、こうした加盟店が準拠するのはあまりに大変過ぎる。そこで「PA-DSS(Payment Application Data Security Standard)」という基準に期待がかかっている。

 これは、決済アプリケーションに対するセキュリティ実装要件を定めたもので、POS装置やモバイル決済端末などのアプリケーションのベンダーに準拠が推奨されている。

 決済アプリの仕様として、「カード磁気情報・CVV2を保管してはならない」「保管されるデータの保護」「安全な認証」「アプリケーションの動きをログに残す」「無線伝送の保護」「公衆回線を通じたセンシティブトラフィックの暗号化」など、合計14のセキュリティ要件が規定されており、すべてをクリアした決済アプリが認定を受けるという仕組みだ。

 井原氏によれば、「中小規模の加盟店のセキュリティ対策はPOSシステムに依存している」点に着眼。「PCI DSSに対応しきれない加盟店でも、セキュアなPOSを使用することで、カードセキュリティの向上を図れるようにした」のがPA-DSSだという。もともとはVISAが策定した「PABP(Payment Application Best Practices)」というものだったが、PCI SSCへ移管して、PCI DSSと同様、業界共通の基準として生まれ変わった。

 PA-DSS認定のPOSが増えれば、ガソリンスタンドなどでもカードセキュリティ対策を行えるようになり、カバーする業種は圧倒的に広がることになる。

 9月には国内初のPA-DSS認定決済アプリケーションが日本NCRから発表された。米国ではすでに160件もの認証が確認されており、さらに加盟店に対して認定POSを使うことを義務化する動きも出始めているという。次第に、POS加盟店における課題も解消され始めている。

 井原氏は「PA-DSSの義務化については、いずれ日本で同じ動きが出てくるだろう」としている。


光を照らすか、影を落とすか、「割販法改正案」

 法制度という側面からは、日本でも、カード産業に影響を与える法案が取りざたされている。5月29日に衆議院を通過した「割賦販売法(以下、割販法)の改正案」だ。この改正案では、カード情報を扱う事業者は、カード情報の安全管理のために必要な措置を講じなければならないと定められており、カード情報への不正なコピー、不正アクセス行為、不正販売(購入者も含む)は3年以下の懲役が科せられる。

 つまり、法律でもカード情報のセキュリティ強化を推進しようという動きが出てきて、民間発のPCI DSSへ何らかの影響を与えることが予想されているのだ。これだけを聞けば、セキュリティ対策への動きが加速されて良いのでは、と思われるかもしれない。

 だがこの改正案には、PCI DSSとは関係のないところで、カード業界に影を落としかねない要素も含まれていたため、物議を醸している。

 割賦販売とは、つまりは「分割払い」のことだ。この割賦販売において安全な取引を保証するため、クーリングオフ制度などに関して記述されているのが割販法である。ところが、現行法には大きな落とし穴があった。

 例えば、消費者AとB店の間でクレジットカードの分割払いにより取引が成立したとしよう。ここで結ばれるのは「売買契約」だ。一方、実際にAに請求を行うのは、Aに代わって立替払いをしたC信販会社である。つまり、AとC信販会社の間には「立替払い契約」が結ばれている。

 このとき、AとB店の間で「商品に欠陥があった」などの問題が発生し、最終的に債務不履行を理由にAが支払いを拒絶したとする。ところが請求を行うC信販会社が、当方には関係のない話なのでAは支払うべきだと要求してきたとしたらどうなるか。

 クーリングオフにより「売買契約」を解除できたとしても、「立替払い契約」を結び、分割払いである以上、C信販会社からの請求を止めることはできないのだ。これがもしも、悪徳商法だったら…。


 そもそも今回の割販法改正案のきっかけは、2005年に埼玉県富士見市で起こった「次々販売」事件である。認知症の老姉妹に対して、複数の住宅リフォーム業者が詐欺的な工事を繰り返したあげく、支払いが滞ったため信販会社に自宅を競売にかけられることになったあの事件だ。

 これら悪徳業者が暗躍する影には、個別割賦で過剰な与信契約を結ぶ信販会社などの存在があった。割販法改正案では、訪問販売業者だけでなく、信販会社などへも規制を強化し、こうした事件を繰り返さないようにしようというのが狙いだった。

 ところがそこにクレジットカードへの規制も盛り込まれたため、業界は騒然となったのだ。具体的には、クレジットカードの発行・更新時や、与信額を決める際に、カード利用者の返済が無理のない金額か調査するように義務づける条文が盛り込まれている。この条文によると、「申込者の年収額、預貯金額、ほかの借り入れや支払い状況など、経済産業省が定める項目」を調査し、「支払い可能額」を算定しなければならないという。

 連想されるのは、この支払い可能額を年収の3分の1までと明確に線引きしたことで過去に不況を招いた、「改正賃金業法」というものだ。これと違って、今回は「線引きを行う意図はない」と経産省はコメントしているが、「これでは事実上の総量規制。クレジットカードによる高額な買い物が不可能となり、新たな不況を招く」という声が一部で挙がっているのだ。

 個人情報保護法でもカバーされていなかったカード情報の保護が盛り込まれる一方、カード産業の低迷を招きかねない条文が物議を醸している割販法改正案。PCI DSSという観点では、光となるか、闇となるか。その影響について井原氏は、「まだ省令の内容が決まったわけではないので、現時点では正直分からない」とコメントしている。

 「PCI DSSはISMSの次の到達目標だ」。米国ではそういう認識の下、多くの事業者が対応を進めているという。PCI DSSの良いところは、前編でも触れたとおり、実装レベルのセキュリティ要件が体系的にまとまっている点だ(その分、対応が大変という側面もあるが)。

 「PCI DSSがそのままセキュリティの解説書になる」とする専門家もいれば、ネットワンのように「一般企業にとっても有益」として精力的にサービスに取り込もうとするNIerもいる。彼らが言うように、いまPCI DSSに注目が集まっているのも、PCI DSSの内容が非常によくまとまっているからであろう。

 一般消費者からすれば、カードの利用はもはや日常に浸透している。カード情報流出事件が多発する昨今、具体的なセキュリティ実装でそれを防ごうとするPCI DSSには期待するところも多い。10月1日には改訂版「PCI DSS v1.2」も公開され、そこでも基準の精度を高めるための複数の調整が図られた。今後、PCI DSSがどのような道をたどっていくか、現時点で予想するのは難しいが、願わくば一般消費者が本当に安心してカードを利用できる世界を創出してほしい。



URL
  ビザ・ワールドワイド
  http://www.visa-asia.com/ap/jp/

関連記事
  ・ ネットワン、カードセキュリティ基準「PCI DSS」の国際標準化団体に加盟(2008/06/18)
  ・ 日本NCRの決済アプリ、国内初のPA-DSS認定を取得(2008/09/17)
  ・ VISAに聞く、実装レベルのカードセキュリティ基準「PCI DSS」【前編】(2008/10/23)


( 川島 弘之 )
2008/10/24 00:02

Enterprise Watch ホームページ
Copyright (c) 2008 Impress Watch Corporation, an Impress Group company. All rights reserved.