Enterprise Watch
最新ニュース

PCI DSSは普及するか? ダブルスタンダード化などの阻害要因を考える


ネットワンシステムズ 営業推進グループ セキュリティ事業推進本部長の山崎文明氏
 カード情報を保護するためのデータセキュリティ基準、PCI DSS。その改訂版となるPCI DSS v1.2が10月1日に施行された。セキュリティを強化するための具体的な技術要件が規定されたPCI DSS v1.2は、VISA、MasterCard、JCB、American Express、Discoverにより策定され、カード加盟店や決済処理を代行するプロセサなどに準拠が求められている。準拠する事業者が増えれば、一般消費者のカード情報を保管する環境はより安全なものとなるが、では果たして、PCI DSSは普及するのだろうか。

 兼松エレクトロニクスとLogLogic Japanが共同主催したPCI DSSセミナーで、ネットワンシステムズ 営業推進グループ セキュリティ事業推進本部長の山崎文明氏が「普及」に関する講演を行った。そこから現在の普及と阻害、それぞれの要因を探ってみる。

 山崎氏は「制裁処置がPCI DSS普及の1つの動機になるだろう」と語る。

 インターネットで楽器や音響機器を販売するサウンドハウスから4月に、カード情報を含む情報漏えいが発生した。こうした事故が起きた場合、カードブランド各社の対応は厳しく、「一度流出した企業には、PCI DSS準拠が確認されない限り、カード決済を認めない方針を採っている」(山崎氏)。

 現に12月25日の時点でも、サウンドハウスのショッピングサイトでクレジットカード決済は行えない。「サウンドハウスの場合、もともとクレジットカード決済があまり多くなかったらしい」(同氏)が、取引件数によっては事業に絶大な影響を及ぼすことも考えられる。

 11月11日(シンガポール時間)にはVISAより、大手のカード加盟店にPCI DSS準拠を義務付けるタイムラインも発表された。年間カード取引件数が600万件を超えるようなレベル1の加盟店に、2010年までに準拠を求めるものだが、注目すべきは、期限までに準拠が確認されなかった場合、アクワイアラ(加盟店を開拓することで手数料を収益とする事業者)に対して「罰金」も辞さないとする内容が盛り込まれたことである。

 米国では、1カ月遅れるごとに1万ドル(VISAの規定)、四半期遅れるごとに5000ドル(MasterCardの規定)といった罰金が科せられる。また、American Expressでは、準拠が確認されなかった場合に加盟店契約を解除するという、ある意味一番厳しい規定を設けているという。罰則のルール化は確実に進んでいる。

 こうした罰則の規定によって、PCI DSSは普及せざるを得ないというわけだ。


 一方、普及を阻害しかねない要因としては、「仮想化環境における監査ガイダンスが存在しない点」や「QSA(訪問審査事業者)の審査基準の不均一さ」などが存在するが、中でも特に大きな要因になり得るのが「改正割賦販売法(以下、改正割販法)」であるとしている。従来の割販法に、主にカードセキュリティの内容を盛り込んだのが改正割販法だが、PCI DSSの内容とかみ合わなければ、「ダブルスタンダード化する懸念があるのだ」(山崎氏)。

 カードは国際的なものである。日本で取得したカードは海外でも使える。米国で発生した情報流出に日本人のカード情報が含まれることがあれば、その逆もしかりだ。だからこそ、グローバルスタンダードとしてPCI DSSが登場したのに、日本だけ2つの基準を抱えてしまえばどうか。国際的に見て日本だけ独自の路線を進むことになり、それはおそらく弊害を生むことになる。それは避けたいところなのだが、山崎氏は「改正割販法の内容はどうやら緩やか。具体的なPCI DSSとはかみ合わない可能性が高い」と、ダブルスタンダード化がにわかに現実味を帯びてきていることに触れた。


 もう1つ、先行き不透明な世界的金融危機も普及を大きく阻害しかねない。セキュリティはいつだってコストや利便性の対として天秤(てんびん)にかけられるものだ。ところが、これまで保たれてきたトレードオフのバランスも今はコスト側に大きく傾いてしまっている。この状況で、どれだけPCI DSS準拠を優先することができるだろうか。ISMSや日本版SOX法の対策が流用できればコストも抑えられるのだが、PCI DSSの方が内容が具体的であるため、これまでの対策が「必要」となっても「十分」にはならないことも多いのだ。

 コストの問題は確かに高いハードルである。しかし2008年もSQLインジェクションなどによる情報流出が頻発している。過去のIPAの調査によれば、被害の復旧には1億円超のコストがかかるだけでなく、サービスを数カ月閉鎖したことで20~30億円の売上減となったケースもあるという。それを考えると、コストの問題は逆に普及要因といえなくもない。

 課題は、経営体力が少ない小規模なカード加盟店にいかに推進していくかである。自社ですべての対応を行うのは限りなく不可能に近い。そのためか、カード情報の管理を代行するサービスや現状のギャップ分析を行うサービスを開始している事業者が多数あり、また、カード決済代行処理を行うプロセサも急増している。小規模なカード加盟店は、こうしたサービスを利用するのが現実的な手であろう。その代わりに委託先の事業者がしっかりPCI DSSに準拠していけば、普及への近道が見えてくる。

 また、PA-DSS準拠のPOSアプリケーションを導入するという手もある。PA-DSSとは、POSアプリケーションに必要なセキュリティを規定した基準で、PCI DSSと同じく、PCI SSCによって運営される国際基準となっている。PCI DSSは突き詰めると、「全磁気ストライプ」「CVC2/CVV/CID」「暗証番号」は保管してはならず、「カード番号」「有効期限」「サービスコード」「カード会員名」を保管する場合は保護するようにと定めたものだ。PA-DSS準拠のPOSアプリケーションを利用すれば、大掛かりな手間をかけずにPCI DSSの一部をカバーすることができる。

 前述の通り、大規模なカード加盟店には、すでにPCI DSS準拠のタイムリミットが設けられている。今後、それ以外の規模のカード加盟店にも同様の決定が下されるかもしれない。しかし制裁処置だけでは当然不十分だ。重要なのは、自社のみで対応しきれないような企業に、現実的な対応策を用意することだろう。アウトソースやギャップ分析、PA-DSS準拠のPOSアプリケーションの検討などは、有効な第一歩といえる。



URL
  兼松エレクトロニクス株式会社
  http://www.kel.co.jp/
  LogLogic Japan株式会社
  http://www.loglogic.com/jp/
  ネットワンシステムズ株式会社
  http://www.netone.co.jp/

関連記事
  ・ NIerのネットワンがPCI DSSに注力するワケ-「当社には地図のようなもの」(2008/11/14)
  ・ 「PCI DSS v1.2」改訂ポイント、最も重い変更は「DMZのログの扱い」(2008/11/13)
  ・ VISA、大手のカード加盟店にPCI DSS準拠を義務化-2010年9月30日までに(2008/11/13)


( 川島 弘之 )
2008/12/26 11:30

Enterprise Watch ホームページ
Copyright (c) 2008 Impress Watch Corporation, an Impress Group company. All rights reserved.