2015年5月29日7:31PCI SSCが「PCIアジア太平洋コミュニティミーティング」を10月に日本で開催「PCI DSS」等のカード決済のセキュリティを普及促進
2006年にJCB、Visa、MasterCard、American Express、Discoverの国際ペイメントブランド5社によって設立されたPCI SSC(The PCI Security Standards Counsil)は、「PCI DSS(Payment Card Industry Data Security Standard)をはじめとするセキュリティ標準の普及・促進を図る標準化団体である。PCI SSCは、2015年10月14日、15日にウェスティンホテル東京で「PCIアジア太平洋コミュニティミーティング」を開催する。PCI Security Standards Council International Director Jeremy King(ジェレミー・キング)氏に、PCI SSCの役割などについて説明してもらった。
日本ではJCBをはじめ関連団体などと連携
決済のライフサイクル全般にわたりカード情報を保護
PCI SSCは、ペイメントカード情報保護のセキュリティ基準「PCI DSS」やPIN入力装置の基準を定めた「PCI PTS」、ペイメントアプリケーションを対象とした「PA-DSS」等に関する認知向上と導入促進を行っている。また、セキュリティプロフェッショナルの育成、決済データセキュリティの重要性をあらゆるレベルの人に理解してもらうことが役割となる。
カード決済は拡大しているが、なかでもアジア太平洋地域の伸びは著しい。グローバルでカード決済が拡大するとともにセキュリティリスクも広がっている。国内でもクレジットカード決済の利用は拡大しており、過去10年間でカード決済額は2倍以上に増加。また、2020年の東京五輪に向けて、キャッシュレス化が進行している。政府や業界団体の動きも活発で、決済インフラの整備、セキュリティの強化に向け議論を重ねている。
たとえば、英国でのロンドン五輪の際は、コンタクトレス決済(非接触IC決済)を広げる課題があったが、近年は「Apple Pay」や「Samsung Pay」をはじめ、さまざまな決済手段が登場しており、そういった手段への対応も求められる可能性がある。ジェレミー・キング氏は、「PCI SSCとしても経済産業省などが目指している決済チャネルのアップデートはサポートしたい」と話す。そのうえで、「セキュリティに関しては、PCI DSSの基準をマストにするのではなく、グローバルな基準に準拠することを言及してもらうことを希望している」としている。
日本でのセキュリティの理解・促進に向けては、創業メンバーで国内発の国際ブランドであるジェーシービー(JCB)、10の協力団体、4の内部セキュリティ評価団体と密接に協力。現在、全世界で700の団体がPCI SSCに参加して、39団体がアジア太平洋地域にあるそうだ。たとえば、日本では経済産業省、日本クレジット協会(JCA)、日本カード情報セキュリティ協議会(JCDSC)と連携し、情報交換などを行っている。
PCIのセキュリティ標準では、決済のライフサイクル全般にわたりカード会員データを保護するという。標準の対象は、決済アプリケーション、決済端末、決済カード製造、ポイント・ツー・ポイントの暗号化(P2PE)など、幅広い決済セキュリティの課題を網羅している。
ISA向けのプログラムを実施
加盟店などへの意識向上プログラムも開催
PCI SSCでは、2015年10月14日、15日に「PCIアジア太平洋コミュニティミーティング」を開催するが、トレーニングも実施する予定だ。まず、「内部セキュリティ評価者(ISA)向けのプログラム」を10月22日、23日に東京都内で実施。ISAは、PCI SSCによるトレーニングと証明書を受領して、組織の内部のPCI DSS自己評価を行うことができる内部監査人のこととなる。「内部評価者向けのISAトレーニングは全世界でも人気がある」とジェレミー・キング氏は説明する。加盟店などの社員がシステムとデータを保護する研修を受けることで、コンプライアンス上のリスクを最小化するためのベストプラクティスツールを提供するそうだ。
「意識向上プログラム」は、10月16日に東京都内で実施予定だ。同プログラムは、PCI DSSを遵守する必要がある加盟店やサービスプロバイダに対し、「なぜ対応する必要があるのか?」など、基本的な情報を提供するものとなる。同氏によると、PCI DSSについては、企業のトップから管理職、従業員まで、企業の全社員がそれぞれの役割を果たす必要があるという。
これらのプログラムは、日本語で受講可能となっている。料金はPCI SSCのWebサイトで紹介されているが、メンバーには割引料金が適用されるそうだ。
なお、「PCIアジア太平洋コミュニティミーティング」の開催は3度目となるが、日本では初の開催となる。同イベントでは、ベライゾン PCIセキュリティ担当者のCiske van Oosten氏、NRIセキュアテクノロジーズの矢野淳氏、楽天 情報セキュリティエキスパートのMarat Vyshegorodtsev氏、Astec Information SecurityのGordon McIntosh氏が登壇する予定となっている。
日本でも2020年に向けて、新しいテクノロジーの導入とセキュリティ強化が進められていくと思われる。ジェレミー・キング氏は、「いま日本の加盟店、決済システムの関係者は大きな変革を迎えていますので、お手伝いできればと思っています」と語り、笑顔を見せた。
※2015年7月発行予定の「カード決済セキュリティガイド」では、PCI Security Standards Council International Director Jeremy King氏に、PCI DSS3.1へのアップデート、品質保証プログラムの現状、日本のPCI DSSの準拠状況、PCI PTSのアップデート、P2PEの認証、PCI HSMの概要、PCI DSSのトークナイゼーションガイドラインとブランド準拠のトークンサービスの違いなどについてのインタビュー記事を掲載する予定となっている。