2025年10月30日8:00
日本におけるPCI DSSの歩みを振り返るとともに、現在のPCI SSCの取り組みを紹介。昨今のクレジットカード不正利用被害の増加にともない、アップデートしていくセキュリティスタンダードの動向を解説する。(2025年10月16日開催「ペイメント・セキュリティフォーラム2025 fall」の開会挨拶、および講演より)
左:前・PCI SSC 井原 亮二氏(開会挨拶)
右:PCI SSC 日本/韓国担当 リージョナル・ディレクター 坪井 淳一氏
スタートから20年を迎えたPCI DSS
東京オリンピックを契機に導入が加速
井原:皆様、こんにちは。ペイメントナビ15周年、おめでとうございます。実は私自身も今年は節目を迎えました。Visaで15年、その後PCI SSCで6年余り、カードセキュリティ業務に携わってきましたが、今年、2025年の3月で現役生活に区切りをつけまして、この後お話しされる坪井さんにPCI SSCのリージョナルダイレクターの職務を引き継ぎました。PCI SSCのWebサイト上にPodcastの13分間ぐらいの映像を上げておりまして、坪井さんと私との掛け合いで、PCI SSCのリージョナルダイレクターの役割をご紹介しています。日本語で聞くことができますので、ぜひご覧になってください。
節目ということでは、PCI DSSは2004年の12月にバージョン1.0がリリースされましたので、2024年の12月で満20歳を迎えたことになります。その20年の歩みを振り返ってみたいと思います。
2004年当時、カード決済が対面取引から非対面のEコマースに大きく拡大していく中で、カード情報だけで不正取引が行われるようになりまして、世界各地でカード情報の漏えい事案が起きておりました。カード情報保護の重要性への理解と、そのための対策が求められていた時期です。国際5ブランドが、カード業界の統一基準としてPCI DSSを発表し、その後、これを管理する団体として共同でPCI SSCを設立したわけですが、国内ではJCA(一般社団法人日本クレジット協会)、あるいはJCDSC(日本カード情報セキュリティ協議会)の枠組みでそれぞれ取り組みが行われていました。一方で犯罪者の標的は、カード情報を大量に集中処理するカード会社や決済代行会社から一般の加盟店にも拡散していく中で、カード情報を取り扱う業界全体に対する啓蒙活動が求められました。そのためのメディアの協力が最も必要とされていた時期でもあります。そのような状況の中で、ペイメントナビが2010年にオープンし、ポータルサイトにおける各種情報提供をはじめ、イベント、出版物を通じて、積極的にPCI DSSを取り上げてくださいました。
転機は2013年でした。2020年の東京オリンピック、パラリンピック開催が決定し、観光立国を目指す日本が、訪日外国人観光客に対して、安全で快適なカード決済環境を整備するために、2015年に業界関係者が集まり「クレジット取引セキュリティ対策協議会」が設立され、2020年に向けた「実行計画」が策定されました。この中で、加盟店に対してはオプションでカード情報の非保持化という選択肢を用意しつつ、カード情報を保管・処理・伝送する事業者が取り組むべき基準として、PCI DSSが採用されました。
その後、2018年に施行された改正割賦販売法のもと、「実行計画」が実務上の指針と位置付けられましたので、直接法律と結び付くことになったわけです。東京オリンピック終了後は、「クレジットカード・セキュリティガイドライン」に引き継がれ、現在に至っています。
PCI DSSはこの20年間に新たな脅威やリスク、あるいは新しいテクノロジー、ステークホルダーの方々からの声に対応していくために3回大きな改訂を行ってきました。これからもセキュリティ基準としての有効性を維持し、環境の変化に対応していくため進化を続けていくことになると思います。どうか関係者の皆様のご理解とご協力を、引き続きお願いいたします。
セキュリティのグローバル基準を設定し
資格認定や研修などのメニューを提供
坪井:ではここから私が、PCI SSCの現在の活動についてご紹介させていただきます。
私はPCI SSCで日本と韓国を担当しております坪井と申します。井原さんの後任として、2025年1月に着任いたしました。井原さんは私にとって、師匠です。先ほど井原さんからもご紹介がありましたが、PCI SSCのサイトに井原さんと私とでPCI SSCの取り組みを紹介する動画が上がっています。PCI SSCとしてははじめての、日本語で話すコンテンツになっています。
今日はペイメントセキュリティにおけるPDI SSCの役割というテーマのもと、3つのトピックをピックアップしてきました。1つはPCI SSCとは何なのかということ、2つ目はPCIセキュリティ・スタンダードの今後について。3つ目は更なるペイメントセキュリティの強化に向けたPCI SSC独自の視点についてお話しさせていただきたいと思います。
まず、PCI SSCについてですが、アカウントデータの保護のためのセキュリティ・スタンダード(基準)の継続的な開発、強化、保存、普及、そして実装のためのグローバルフォーラムです。2006年に国際ブランドのAmerican Express、Discover、JCB International、MasterCard、Visaによって設立されました。これからもセキュリティ・スタンダードという言葉をたくさん使いますけれども、スタンダードというのは基準、標準といった意味です。スポーツにたとえれば、われわれはルールブックをつくっている組織で、プレイヤーはそのルールに沿ってさまざまなプレイをする。そのような組織だとご理解いただければよいと思います。
PCI SSCはアメリカ・ボストンに登記されておりまして、そこで働いているメンバーはグローバルで50名ぐらいです。50名ですべてをまかなうことはできませんので、いくつかの業務については完全にアウトソースをしています。アウトソースしている先が同じボストンにあったりもしますので、日々いろいろな問い合わせを受けて、それに回答するにあたっては、そういったわれわれのバックヤードの方々の協力を得ながら活動しています。
カウンセル、日本語でいうと協議会あるいは評議会ですから、物事に対して決定、決断をする組織です。何かモノをつくったり、売上を上げたりする組織ではなくて、あくまで非営利の組織です。
エグゼクティブ・コミッティー(エクスコ)には、各ブランドを代表する方々がいます。設立にかかわった5ブランド、プラス、ユニオンペイが参加して、エクスコは6つのブランドによって運営されています。
スタッフが策定したスタンダードなどは、エクスコの正式な承認を受ける必要があります。スタッフはそのためのドラフトをつくったり、承認を受けたスタンダードの管理・運用をしたりしています。現在はGinaがエグゼクティブ・ダイレクターを務めており、エンゲージメントの責任者のDiana、テクノロジーやプロダクトの責任者のDeanneなどが中心的役割を担っています。ちょうど今週、アムステルダムで3日間にわたって、PCI SSCが主催するコミュニティ・ミーティングがありまして、この3人が登壇して話をしました。
エンゲージメントを推進するDianaのもとにグローバルチームがあり、私を含めて世界各地を担当するメンバーがいます。ワシントンD.C.に拠点を置く北米担当、シンガポールに拠点を置くアジア・パシフィック担当、イギリスに拠点を置くヨーロッパ担当、インドに拠点を置くインド・南アジア・中東担当、ブラジルに拠点を置く南米担当、そして私は日本と韓国を担当させていただいています。それぞれが担当する範囲はけっこう広域で、もちろん1人ですべてをまかなうことはできませんので、いろいろな方のサポートを得て活動しています。
先ほども申し上げましたように、PCI SSCはアカウントデータのセキュリティを強化するために活動しています。それに加えて、セキュリティ・スタンダードというのはわかりにくい側面がありますので、できるだけ多くの方に知っていただくための活動を推進していくことが、特にグローバルチームには求められています。本日ここで私がお話しさせていただいていることも、その活動の一環です。
PCI SSCは会社、あるいは個人に対して、スタンダードに基づいていろいろな資格認定を行っていますが、それにかかわるトレーニング、研修も定期的に行っております。トレーニングを受けた後にはテストを実施して、理解や実務能力の向上を図っています。
カード業界の環境の変化に即して
ターゲットエリアの再編成に着手
坪井:次に、PCIスタンダードの今後についてお話しいたします。
セキュリティ・スタンダードの周辺には、カードを発行するイシュア、カード加盟店、加盟店を管理するアクワイアラ、加盟店をサポートするベンダー、ソリューション・プロバイダーなど、さまざまなステークホルダーの方がいらっしゃいます。そのように、ペイメント業界には多くの方々がかかわっていますし、以前と比べて増えてきています。セキュリティ・スタンダードはそういった方々すべてにかかわるものです。
PCIのスタンダードは、現在、15あります。PCI DSSもその中の1つです。これを今後、約半数の8つぐらいに絞っていこうという動きになっています。この話は数年前から出ていたことで、今、それを具体化していかなくてはならない時期にきており、変更しないもの、アップデートするもの、新規に追加するもの、リタイアさせるものに切り分けて、検討を進めているところです。2026年にはこのセキュリティ・スタンダードの統廃合が大きく進んでいくと思われます。もちろん一気に変えるわけにはいきませんので、プロセスを踏んで、正式に世の中に出るまでには数カ月、場合によっては半年かかるケースもあると思いますが、来年あたりには大きな見直しが入って、最終的にターゲットエリアが8つぐらいに集約されていくだろうという見通しになっています。
現在はスタンダードが15あるわけですが、だぶっているもの、時代に即さないものがあるのではないかという議論がありました。また、周辺の業界からもいろいろな意見をいただいております。そういった経緯があって、やはり見直しが必要だということになりました。ここからますます活発な議論が行われていくことになると思います。これからPCI SSCが発信していく情報をチェックしていただきたいと思います。
今後について考えていくときの大前提になるのは、PCI DSSに代表されるPCIのスタンダードは、多くの企業のセキュリティ・プログラムの基盤になっており、引き続き、カード情報の保護のための大きな礎になっていくということです。2006年のスタート時のバージョン1.0は、ページ数にして17枚ぐらいでした。現在のバージョンは、300ページぐらいになっています。世の中が変わり、残念ながら脅威が増えていることによって、要件が増え、複雑化しているという現状を、PCI SSCでも認識しております。
もうひとつお伝えしたいこととして、PAN(Primary Account Number)の役割の低下といいますか、認識が変わってくると考えております。PANは重要なカード情報でありますが、いろいろなセキュアな代替技術が出てきて、カード番号自体の存在感は薄れつつあります。トークン化された取引は、2023年当時でEコマース決済の32%ぐらいを占めています。同じく2023年のデータで、クラウドトークン化サービスの利用は前年比20%増となっています。こういった認証技術の進展によって、カード情報の漏えいリスクを軽減できることが期待されます。カード番号が重要な情報であることに変わりはありませんが、世の中の技術変化にともなって、考え方、とらえ方は変化していくでしょう。
われわれは環境に応じた、柔軟なセキュリティ・スタンダードを整備していかなくてはならないと強く認識しています。従来のように一律の基準をつくるのではなく、リスクベースの判断によるスタンダードの設定が求められると考えており、これを支援していきたいと思っております。また、PCI DSSとその関連プログラムを、新しい決済技術や環境に適応させることに注力していきます。
