2011年11月17日8:00
国際ブランドとしてEC加盟店にPCI DSS準拠とカード情報非保持を推進
ジェーシービーブランド事業統括部門 ブランド事業統括部 部長代理 井上憲司氏インタビュー
国内唯一のペイメントカードの国際ブランドであるジェーシービー(JCB)は、EC加盟店などに対し、PCI DSSの準拠やカード会員情報の非保持化を推進している。同社の国際ブランドとしての取り組みについて、ブランド事業統括部門 ブランド事業統括部 部長代理の井上憲司氏に話を聞いた。
PCI DSSは準拠に向けた方法論の段階に進む
流出事案が多いEC加盟店を中心にアプローチ
――まずは、PCI DSSを取り巻く国内の状況からお聞かせください。
井上:国内ではEC加盟店のWebサイトが被害に遭い、カードデータの漏えい事故が引き続き発生しています。PCI DSSの認知度については、数年前と比べると向上していると感じています。以前は、基準を理解をしていただくことが前提でしたが、具体的な準拠に向けた方法論の段階に進みつつあります。
――JCB様の「JCBデータセキュリティプログラム」の推進や業界団体の動きについてはいかがでしょうか?
井上:JCBでは、PCIDSSの推進についてもブランドやアクワイアラ部門を中心に継続して行っています。現在、業界団体でPCI DSSの推進に関する実行計画を策定しており、弊社も積極的に参画しています。JCBでは従来からデータの流出事案の多いEC加盟店を中心にアプローチを行っています。具体的には、PCI DSS準拠をお願いするとともに、カード会員データを決済代行事業者に預ける非保持化を含めてご検討をいただく形で進めています。
――PCI DSSを推進する上での課題についてお聞かせください。
井上:加盟店に対しては、まずは趣旨をご理解いただき、社内で検討してもらう流れで進めていますが、いざ準拠するとなるとコストと時間がかかってきます。そのため、準拠に向けての推進の手法については業界レベルでの検討が必要です。
加盟店にPCI DSSの準拠はお願いしたいのですが、それぞれの国の事情や決済環境に応じた取り組みの手法を考えていかなければなりません。これは、国内だけではなく、海外での展開についても言えることです。国内では、業界団体が推進に関する実行計画を策定していますので、それに則る形で進めていく方針です。
PCI DSS基準の理解と
関連団体の支援を行う
――JCB様はPCI SSCのメンバーとしても活動されていますね。
井上:PCI SSCが現在フォーカスしているのは、PCI DSSに準拠する過程の中で、如何にスコープ(対象範囲)を狭め、安全性を維持しながら企業の負荷を減らすという点です。そのため、「Point to Point Encryption」や「トークナイゼーション」などの新技術をどのように組み込み、準拠を促進させるのかに重きを置いています。また、大手加盟店だけではなく、中小の加盟店についてもスコーピングの極小化も含めて、効果的な推進についての方策を検討しています。さらに、仮想環境下での利用についても新しいテクノロジーの1つとして出てきています。
国内では、PCI DSSに関連する団体も積極的に活動していますので、その方々を引き続き支援していきたいと考えています。また、PCI SSCのステークホルダーの方々の日本でのスムーズな基準の理解は、私どもブランドでやらなければならない役割だと思います。海外においてもシンガポールや香港などでセキュリティに関するタスクフォースが活動しています。弊社は国際ブランドとして、各国のマーケットを見ている立場でもありますので、参考になるものがあれば日本にも還元していきたいですね。
PCI DSSの地域的な広がりとしては、米国だけではなく、数年前から欧州、アジア・太平洋地域での活動については継続的に行っています。その際も、各国のマーケットの成熟度合などを考え、もっとも適した方法で推進するように心がけています。
