PCIDSSで迎えた最初の期限「データ廃棄」、その対応状況は？

ビザ・ワールドワイド、リスクマネージメントの井原亮二氏

　2009年9月末、PCIDSSに関する1つのルールが期限を迎えた。「レベル1～2の加盟店は、センシティブ認証データを廃棄すること」。PCIDSSの完全準拠に向けて、2008年にVISAがワールドワイドに発表したタイムラインだ。そして2010年9月末には「レベル1の加盟店はPCIDSSに完全準拠すること」という期限もやってくる。その試金石ともいえた今回のデータ廃棄は、滞りなく行われたのだろうか。ビザ・ワールドワイド、リスクマネージメントの井原亮二氏に現況を伺う。

　なお、レベルは年間カード取引件数などによって定められ、レベル1が最大の加盟店となる。VISAでは年間600万件を超える加盟店をレベル1と定義している。


―2009年9月末に1つの期限が過ぎました。その結果について伺いたいのですが、その前に改めて「センシティブ認証データの廃棄」の意味について教えていただけますか。

井原氏
　センシティブ認証データとは、「カード磁気情報」「暗証番号」「セキュリティコード」といった、第三者に流出してはまずい、カード情報の中でも特に機密性の高いデータです。これらが流出すれば、ICカードや3Dセキュアなどの認証スキームも根底から揺らいでしまう。

　PCIDSSでは「これらを保管しないこと」と各種のセキュリティ対策を実施する前提として、要件で定めてあります。238項目のうちの1つに過ぎないのですが、そういう意味ではPCIDSSの核ともいえる重要な項目です。

　そのためVISAとしては、真っ先に対策を打つべきところでした。また加盟店に対しても、まずここから手がけてほしい、これをきっかけに完全準拠を目指してほしいという思いがありました。


―加盟店の数を考えると、データ廃棄状況の取りまとめも大変そうですが、どういった流れで行われたのでしょうか。

井原氏
　米国ではカードブランドと加盟店が1対1で単純なのですが、日本では、特に大型加盟店がそうなのですが、さまざまなカードブランドを併用していることが多いんですね。

　そのため、カード会社と連携して定期的にミーティングを開きました。まず、レベル1の加盟店はどこのカード会社と契約があるのかを確認し、複数社ある場合は、代表のカード会社を決めさせていただき、進ちょくなどをシェアしながら、取りまとめました。

　アクワイアラ（加盟店開拓業者）、つまりカード会社（日本ではカード会社がアクワイアラ業務を兼ねる）に報告の義務を課していたのですが、必要があれば当社も加盟店を訪問したりしながらの作業でしたね。


―なるほど。最終的には各加盟店の廃棄状況を、報告書としてまとめたのですよね。

井原氏
　はい。


―結果はいかがだったでしょうか。

井原氏
　おかげさまで9月末までに大半の加盟店が作業を完了できました。何分規模の大きい話なので、実はデータ廃棄が間に合わなかったところもあるのですが、そういうところでも、今後いつまでに対応を終えるのか、それまで暫定的にどういった保護対策を打つのか、といったアクションプランを策定して提出してもらいました。

　現状はそれら報告書、およびアクションプランを精査しているところです。


―データ廃棄もアクションプランの策定も間に合わなかった加盟店、などはありましたか？

井原氏
　それはありませんでしたね。


―なるほど。結果としてはなかなか上々のようですが、1つの期限を過ぎて、率直にいま、どのように感じていますか？

井原氏
　そうですね。だいぶ理解が広まったなという実感があります。正直言うと、2008年11月に期限を発表したときには、当社としても無茶を言っているなという感じはあったのです。カード会社からそういう意見をいただくこともありました。


―どう無茶だと感じられたのでしょうか？

井原氏
　情報セキュリティはインフラと結びついています。加盟店から言えば、投資計画に直接絡んでくる話ですよね。リース、償却などいろんな条件があり、不景気の中で対応するのは大変です。当社も心配するところが実は大いにあったのですが、加盟店に重要性をよくご理解いただいたな、と感じています。


―確かにこれが4、5年前だったら、そこまでスムーズにはいかなかったのでは、という気はしますね。2010年9月末には、いよいよレベル1加盟店の完全準拠期限がやってくるわけですが、それについては現状どのように感じていますか。

井原氏
　今回のデータ廃棄のお願いをしたときに、レベル1の加盟店には次のステップがあるということはすでにお伝えしてあります。今回はただの第一ステップということは加盟店にも理解してもらっていて、今回のデータ廃棄だけでなく、最初から完全準拠に向けたスケジュールを作っていただいてます。そういう意味ではあまり心配はしていません。

　ただアクションプランを策定したところには、データ廃棄が遅れ、それに引きずられて完全準拠も遅れてしまうという加盟店も存在します。

　そういったプランをこれから精査・判断していかなければなりません。1つハードルとなっているのは、米国と日本の決算時期のずれですね。今回の9月末という時期は米国の決算時期に合わせて設定されています。ところが、日本は3月末のところが多いですからね。アクションプランの中には、3月末をめどにしているものも多いのです。


―期限が発表されたときのリリースには、「未対応であれば罰金も辞さない」という一文がありました。今回のお話を聞いていると、そうしたリスクコントロールを即座に発動する、という対応方針でもないようですが、そのあたりはどういう対応となるのでしょうか。

井原氏
　それも含めて、アクションプランを見ながら検討しているところです。プランさえ提出すれば、リスクコントロールを回避できるということでは、決してありません。そこは柔軟に、厳しいところは厳しく、になっていくと思います。


―もう1つ気になることがあります。2010年に完全準拠を義務づけているのは、レベル1の加盟店ですよね。しかし、このレベル分けは年間のカード取引件数などによって決められています。ということは、現時点ではレベル2の加盟店が来年にはレベル1になっていたり、その逆が起きたりもするわけですよね？

井原氏
　その通りですね。


―その場合、完全準拠についてはどういったルールになるのですか？

井原氏
　まずレベル1、レベル2の加盟店リストを継続的に見直していく必要があります。レベル1からレベル2に落ちたとしても、対策を辞めてもいいというものではないですが、おそらく気になるのは、レベル2からレベル1に変わった場合ですよね。


―そうですね。その場合、途中からいきなり完全準拠が義務となるわけで、対応も大変になると予想できるのですが。

井原氏
　それに関しては、新規にレベル1になった加盟店に対する細かなルールが現状存在しません。方針としてはもちろん完全準拠に向けて対応していただいて、オンサイト診断なども受けてもらえるようお願いする形になりますが、何らかの補完ルールが用意される可能性はありますね。


―今回のデータ廃棄は、どの加盟店も保持してはならないセンシティブ認証データの廃棄だったわけですが、それ以外のカード情報を持つ加盟店が、さまざまなセキュリティ対策を施さなければならないというのが、PCIDSSですよね。その完全準拠に向けては、自社対応するか、そもそも「それ以外のカード情報」もアウトソースしてしまうか、の2通りがあります。そのすみ分けはどうなっていきそうですか？

井原氏
　そうですね。レベル3の加盟店は、まさにそこを検討中です。レベル3ほどの規模だと、セキュリティばかりに多大な投資はできません。自社でPCIDSSすべてに対応するのは負担が大きすぎるということで、サービスプロバイダにデータを預け、自社ではカード情報を持たないという選択肢もあると思います。PCIDSSにすでに準拠しているサービスプロバイダにも積極的にそういう提案をお願いしたいですね。

　一方で、レベル1、レベル2の加盟店になると、自社でそうしたデータを持たないという選択肢は、マーケティング戦略上あまりありえません。決してアウトソースの可能性がないわけではありませんが、やはりレベル1、レベル2では自社対応ということになるでしょうね。


―なるほど。最後に、2010年9月末までに達成できそうですか。

井原氏
　できそうです。いろんな課題があることは分かっていますが、ルールなのでできるようにやっていきます。そういう力強い声が加盟店からも聞こえてきていますから。


―ありがとうございました。