2011年11月9日8:57
国内でのPCI DSSの準拠状況は?
約60社が準拠を果たし、そのうち9割がサービスプロバイダ
「PCI DSS(Payment Card Industry Data Security Standard)」はVisa、MasterCard、JCB、American Express、Discoverの国際カードブランド5社が定めた、クレジットやデビットなどのペイメントカードのセキュリティ基準である。
国際ペイメントブランドが付与されたカード情報を「処理、伝送、保存」するリアルやeコマースサイトを運営する加盟店、決済代行事業者やカード会社などのサービスプロバイダが対象となっている。カード、決済に関するデータ保護が目的とされ、6項目12要件が定められている。
国内でQSA(認定セキュリティ評価機関)の審査を受けたPCI DSSの完全準拠企業は、2011年9月現在、約60社。そのうち約9割がサービスプロバイダとなっている。各QSAやコンサルティング企業によると、徐々にではあるが準拠企業が増えつつあるという。
加盟店としては、ショッピングモール、インターネットサービスプロバイダ、保険会社などで準拠が進んでいる。楽天、ヤフーのインターネットショッピングモールは早い段階から準拠を果たした。また、NECビッグローブ、ニフティ、ソネットエンタテイメントのインターネットサービスプロバイダもクレジットカードの決済処理が数多く行われており、対応を行っている。保険会社ではアリコジャパンが準拠を果たした。
カード会社でも徐々に準拠企業が増えている。しかし、システムが膨大なため、全システムで準拠を果たすことは早急には難しいという課題もあり、段階的な準拠を行う企業が目立っている。例えば、三菱UFJニコスや三井住友カード、トヨタファイナンスなどは、インターネット決済の環境から準拠し、その後、段階的に対象範囲を広げていく方針だ。
サービスプロバイダのなかでもインターネット決済代行事業者は、主要な企業が準拠を果たしている。大手企業はほぼ対応しているため、競合他社と比較してのビジネス上の優位点は現時点ではそれほどなくなってきており、逆に準拠していないことのデメリットのほうが大きいという。また、3大情報処理センターのNTTデータ、日本カードネットワーク、ジー・ピー・ネットも認証を取得。国際ブランドが推進する本人認証手段である「3-Dセキュア」関連のプロバイダとしては大日本印刷とNTTデータが準拠している。また、エクシードは、ホスティング事業者としていち早くPCI DSSに準拠している。
PCI DSSの普及で先行する米国ではレベル1加盟店で97%の企業が準拠を果たしているといわれている。それに比べ、日本では加盟店レベルで準拠している企業は圧倒的に少ないと言えるだろう。特にリアル加盟店の準拠は現時点で聞こえてこない。ただし、国内でも業界団体などが中心となり、大手加盟店などを中心にPCI DSSの準拠を勧めていく動きも出てきており、今後は普及に弾みがつくと期待される。
