2017年5月24日15:30
「PCI DSS(Payment Card Industry Data Security Standard)」をはじめとするセキュリティ標準の普及・促進を図る標準化団体であるPCI SSC(The PCI Security Standards Counsil)は、PCI DSS Version3.2の日本語版などの各種資料を公開した(公開サイト)。PCI SSCの最新動向について、インターナショナル・ディレクターのジェレミー・キング(Jeremy King)氏に説明してもらった。
小規模店舗などでも閲覧しやすいガイドを意識
QSAや加盟店などに日本語でトレーニングできる機会も検討
PCI SSCは、2006年にJCB、Visa、Mastercard、American Express、Discoverの国際ペイメントブランド5社によって設立された標準化団体だ。国内においても、カードブランド、経済産業省、日本クレジット協会(JCA)などと協力して、PCI DSSの普及に努めてきた。
PCI SSCでは、2017年5月にPCI DSS Version3.2、およびそのサポート文書を日本語で公開。日本語で文書を公開することが、PCI DSS準拠の広がりに必要であると考えたそうだ。同文書は、PCI DSSの訪問審査を行うQSA(認定審査機関)などの関連企業が参加する日本カード情報セキュリティ協議会(JCDSC)のQSA部会の有志が翻訳協力したという。
「PCI DSSの基準はもちろん、サポート文書、またテクノロジに対しての知見がそれほどないと思われる小規模な店舗に対しても、PCIデータセキュリティがなぜ大切なのかを日本語で紹介しています」(キング氏)
PCI基準の日本語版については、経済産業省からの要望もあったという。また、経済産業省からは、日本のQSAや加盟店に対しても日本語でトレーニングを実施できる機会を設けてほしいという相談もあったため、その声に応えていきたいとした。
今こそ行動を起こさなければいけない時期に
セキュリティへの対応は会社組織全体の問題
現在、世界各国でさまざまなペイメントカードの情報漏えい事件が発生しているが、「PCI DSSは企業のセキュリティを高め、外部から悪意のある侵入の可能性を下げ、万が一侵入があった際にはきちんと準備ができていれば、早期に検知・対応できる基準である」とキング氏は説明する。その上で、「今こそ加盟店は行動を起こさなければいけない」とした。特に、2020年に東京五輪が開催される日本は犯罪者のターゲットになる可能性がある。そのため、IT部門だけではなく、セキュリティへの対応は会社組織全体の問題として、認識する必要があるとした。
また、PCI SSCでは、PCI DSSなどの基準の認識を高めると同時に、世界の各地域の加盟店やサービスプロバイダがどのような課題に直面しているかを聞いて、その悩みを共有し、規格策定に活かしている。
「アソシエイトQSA」を新たに開始
2018年のコミュニティミーティングを日本で開催へ
キング氏は、グローバルなセキュリティ対策の課題として、全世界のサイバーセキュリティの専門家は100万人足りないことを挙げた。そのため、QSAの一歩手前の若手に向け、「アソシエイトQSA」を開始する予定だ。アソシエイトQSAは、現在、プログラムの策定中であり、2018年1月以降の公開を予定している。
また、PCI SSCは、2015年10月14日、15日に東京で「PCIアジア太平洋コミュニティミーティング」を開催したが、2018年5月に予定されているミーティングも日本で行われる予定だ。キング氏は、「ペイメントセキュリティを進める中で、日本は中核的な国だと考えています。そして、日本の加盟店やそのほかの組織がPCI 基準を採用する本当に重要な時期であると考えており、その目標を達成できるようにできる限りの支援をしていきたいですね」と語り、笑顔を見せた。
ジェレミー・キング氏のインタビューの詳細記事は、夏頃に発売予定の「ペイメントカード情報セキュリティ対策の仕組み」で詳細に紹介する。PCI DSSの世界各国と比較した日本の準拠状況、QSAの品質保証プログラム、PCI DSS準拠企業からの情報漏えいの見解、日本におけるP2PEなど、本記事で紹介できなかった部分も含め、紹介する予定となっている。
