2011年5月9日12:00

国内におけるPCI DSSの普及状況は?

2010年のPCI DSSの準拠件数は約60件

ギャップ分析など対応を進める企業は増加

PCI DSS(Payment Card Industry Data Security Standard)は、Visa、MasterCard、JCB、AmericanExpress、Discoverの国際ペイメントブランドが制定したペイメントカード業界におけるセキュリティ基準である。PCI DSSは6項目12要件で構成され、国際ペイメントブランドが付与されたカード情報を「処理/伝送/保存」する加盟店、サービスプロバイダが対象となる。

PCI DSSの12要件

国際ブランドが搭載されたクレジットカードは世界中のリアル、インターネット加盟店で取引が可能である。最近では国際ブランド搭載のデビットカードやプリペイドを国内のイシュア(カード発行会社)が発行するケースも増えてきた。すそ野が広がるペイメントカードの取引において、セキュリティを一定に保つための1つの基準としてPCI DSSが果たす役割は大きい。

QSA(認定セキュリティ評価機関)によると2010年にPCI DSSに準拠した企業は60件程度であるという。2009年が40件程度であったことを考えると準拠企業数は増えているが、「当初の期待ほどは準拠数が伸びなかった」と考えるQSAは多い。

特に昨年はVisaがレベル1(年間600万件以上のVisaブランドのカードを取引もしくはVisaがレベル1と判断した加盟店)に対してAIS(米国ではCISP)の遵守期限を2010年9月末までと設定したため、準拠企業は大幅に増えると期待した企業は多かった。

現状、国内では決済代行事業者やホスティング事業者などのサービスプロバイダから準拠が進んでいる。レベル1、レベル2加盟店としては、アリコジャパンヤフー、楽天、NECビッグローブニフティDMM.comといった企業が準拠を果たしているが、2010年以降、準拠に向けた検討をスタートした企業が多いのが実情だろう。あるカードブランドは、「ギャップ分析などを行っている企業は増えていますが、想像以上に準備とコストがかかるため、対応が遅れているケースも多いです」と説明する。実際、ある大手カード会社は3年計画で準拠に向けた取り組みを始めているように、セキュリティ対策に取り組んでいる企業であっても準拠まで数年かかることも多い。また、準拠を果たしている企業、特に加盟店からは、準拠に向けた投資コストに加え、維持コストがISMSなどと比べて高い点も課題として挙がった。

特にリアルの加盟店に関しては、POSの仕様変更や端末の置き換えといった投資コストがネックとなっているようだ。

「リアルの加盟店においてはレビューの結果、現行POSの仕様など技術的な課題が見つかり、PCI DSS遵守対応に予想以上の時間を要しているケースもございます」(Visa)
「加盟店の準拠状況は期待しているより遅いと見ていますが、その理由の1つには、PCI DSS への準拠に伴うコストがあるとみています。例えば、デパートやディスカウントストアのように、すでに統合されたPOS 端末を導入している加盟店の場合、端末を替えなくてはいけないことに二の足を踏んでしまいます。また、オンサイトレビューやPCI DSSに準拠するために必要な事項にかかるコストが加盟店の準拠をためらわせる要因になっていると思われます」(MasterCard)

PCI DSSの準拠で先行する米国ではレベル1加盟店の約95%が準拠しているという。一部の州では、州法でPCI DSSの遵守を義務化しており、対応コストを下げるノウハウも蓄積されてきた。また、米国では民間の最終消費支出の約5割がペイメントカードの取引となっている。そのため、PCI DSSへの対応は業務上必要であると考える企業が多く、アクワイアラなどから準拠を押しつけられているという意識のある日本の加盟店に比べ、セキュリティに対する意識も高い。

業界レベルで普及に向けた本格的な議論が始まる

ブランド、カード会社が加盟店にPCI DSSの説明を行う

ただし、普及のきざしもある。まずビザ・ネット・プロセッサー(VNP)の期限に向け、国内の主要なカード会社が準拠に向けた取り組みをスタートさせた。VNPに加え、PCI DSS Version2.0からは、カード会社(イシュア、アクワイアラ)も準拠対象となることが正式に盛り込まれている。

トークナイゼーションによりPCI DSSの審査対象範囲の縮小が可能に(出典:RSAセキュリティの記者説明会資料より)

2011に入り、日本国内でPCI DSSの普及に向けた業界レベルの本格的な議論が始まっていることもプラスになるだろう。また、国内で活動するカード会社、ブランドによる「4ブランド合同PCI DSS推進タスクフォース」により、加盟店への提案活動も活発に行われた。これらの背景としては、改正割賦販売法の施行によりカード会社の加盟店に対する監督責任が生まれたこと、国内の加盟店でのカード情報流出事故の増加など、ペイメントカードのセキュリティ対策が喫緊のテーマとして認識されてきていることが挙げられる。

また、経済産業省委託調査である「平成22年度コンピュータセキュリティ早期警戒体制の整備事業 (安全な電子決済実現に向けた情報セキュリティ対策に関する調査事業)」について、三井物産セキュアディレクション、国際マネジメントシステム認証機構、コグテックコーポレーションの3社で受託し、実施報告書が経済産業省のWebサイトで公開された。同報告書には、クレジットカード会員情報の保護施策として、PCI DSSの概要、加盟店やサービスプロバイダの対応状況、各要件の対応方法、代替コントロールの適用事例などが詳しくまとめられている。同報告書に関しては、今後、アクワイアラが加盟店やサービスプロバイダにPCI DSSなどのカードセキュリティを説明する際の資料として活用されることは間違いない。

また、PCI DSS関連のベンダーやQSA、ASVなどが中心となって活動する日本カード情報セキュリティ協議会(JCDSC)、PCI SSC加盟の国内企業が活動するPCI SSC PO Japan連絡会など、PCI DSSの関連団体も引き続き積極的に活動している。

最近では、インターネット決済において、決済方法を選択した後の処理を決済代行事業者側で行う「カード会員情報非保持(画面遷移型)」を決済代行事業者が提案する動きも目立つ。同方式を採用すれば、最大280項目のPCI DSSの要件を13項目(自己問診SAQタイプA)まで抑えることが可能だ。すでに過去に情報漏えいを起こした企業など、複数の企業がカード会員情報非保持を採用している。

加えて、カード情報に置き換わる別の数値(乱数)で情報処理を進める「Tokenization(トークナイゼーション)」方策も米国では広く採用されており、PCI DSSの新技術として注目されている。すでにEMCジャパン(RSA事業部)や日本セーフネットなどが関連ソリューションを販売しており、加盟店や決済代行事業者からの引き合いも多いという。

関連記事

ペイメントニュース最新情報

ポータブル決済端末、オールインワン決済端末、スマート決済端末、新しい決済端末3製品をリリースしました(飛天ジャパン)

国内最大級のクレジットカード情報データベース(アイティーナビ)

「お金の流れを、もっと円(まる)く」決済ゲートウェイ事業のパイオニアとして、強固なシステムでキャッシュレス決済を次のステップへと推進します。(ネットスターズ)

国内最大級の導入実績を誇る決済代行事業者(GMOペイメントゲートウェイ)

決済シーンにdelight(ワクワク感)を!PCI P2PE 認定国内実績 No.1の「確かな信頼」を提供します(ルミーズ)
電子マネー、クレジット、QR・バーコード、共通ポイントなど、多数のキャッシュレス決済サービスをワンストップで提供(トランザクション・メディア・ネットワークス)
決済領域を起点に多様なビジネスニーズに応える各種ソリューションを提供(インフキュリオン)
ReD ShieldやSift等の不正検知サービスを提供し、お客様の不正対策を支援(スクデット)
BtoCもBtoBも。クレジットカード決済を導入するならSBIグループのゼウスへ。豊富な実績と高セキュリティなシステムで貴社をサポートいたします。(ゼウス)
TOPPANの決済ソリューションをご紹介(TOPPANデジタル)
多様な業界のニーズに対応した、さまざまなキャッシュレス・決済関連サービスを提供する総合決済プロバイダー(DGフィナンシャルテクノロジー)
決済業務の完全自動化を実現する「Appian」とクレジット基幹プラットフォームを合わせてご紹介!(エクサ)
チャージバック保証、不正検知・認証システムなどクレジットカード不正対策ソリューションを提供(アクル)

非対面業界唯一!!カード会社とダイレクト接続により、安心・安全・スピーディーで質の高い決済インフラサービスを提供。Eコマースの健全な発展に貢献する決済代行事業者(ソニーペイメントサービス)

stera terminalでお店のポイントがつけられる「VALUE GATE」(トリニティ)

Spayd スマートフォン、タブレットがクレジット決済端末に!(ネットムーブ)

DNPキャッシュレス 決済プラットフォームをご紹介(大日本印刷)

PAGE TOP