2010年11月16日8:00
ビザ・ワールドワイド 井原亮二氏に聞くAISの遵守状況
普及の課題はPCI DSS対応コストおよび維持コストの軽減策
ビザ・ワールドワイド(Visa)ではメンバーのアクワイアラと連携し、「AIS(アカウント情報セキュリティ)プログラム」の推進を行ってきた。同社では今年9月末までにレベル1加盟店(年間600万件以上の取引がある加盟店)に対し、PCI DSSの遵守期限を設定した。同取り組みの成果についてビザ・ワールドワイド リスクマネジメント/カントリーリスクダイレクター 井原亮二氏に話を聞いた。
加盟店のAIS遵守状況は?
リアル加盟店では予想以上に時間を要するケースも
――今年に入ってからの加盟店のAIS遵守状況についてお答えください?
井原:Visaではグローバルタイムフレームの一環として年2回大手加盟店(レベル1および2)リストの洗い直しと確認された大手加盟店およびレベル3加盟店のPCI DSS対応状況についてアクワイアラより報告を受けています。
確認されたレベル1および2加盟店については、EC系加盟店では対応が完了しています。一方、リアルの加盟店においてはレビューの結果、現行POSの仕様など技術的な課題が見つかり、PCI DSS遵守対応に予想以上の時間を要しているケースもございます。これらの場合でもPCI DSSの最重要要件とされている磁気情報の削除対応と最終的に完全遵守を達成するための計画の提出を受けています。
――今年9月のレベル1の遵守期限に向けてのアクワイアラの動きはいかがでしたか?
井原:Visaのアクワイアラとの緊密な連携の結果、前述のとおり一部のリアル加盟店で完全遵守が間に合わなかったケースもありますが、その場合でも磁気情報の削除完了報告とPCI DSS完全遵守にむけての対応計画の提出を受けており、その意味で期限遵守にむけてのアクワイアラと加盟店による最大限の努力が払われたと認識しています。
国内でも業界レベルの本格的な議論が始まる
カード会員情報非保持やTokenizationの提案も進める
――今後のPCI DSS推進の方向性についてお聞かせ下さい。
井原:PCI DSSは今年に入り、日本で普及に向けた業界レベルの本格的な議論が始まっています。また、カード会社で構成されるタスクフォースにより、加盟店・サービスプロバイダーへの提案活動も活発に行われています。これらの背景としては改正割賦販売法の施行、国内の加盟店でのカード情報流出事故の増加など、喫緊のテーマとして認識されてきていることが挙げられます。
関係業界におけるPCI DSSの認知は格段に広がり、これからは次のステップとして、PCI DSS普及の裾野を広げるための課題、すなわちPCI DSS対応コストおよび維持コストの軽減策が必要と考えています。
1つのアイデアとして、「カード情報を保管しない」という選択肢があります。カード情報を保管しないことによりPCI DSSのかなりの要件がクリアでき、またカード情報に置き換わる別のID番号で情報処理を進める(Tokenization)方策もUSでは広く採用されており、このようなアイデアを広く検討していくことが重要と考えています。
