2010年11月29日8:47
クレジット産業向けにISMSとPCI DSSの両審査の取得を推進
Version2.0のユーザーズガイドもWebで公開予定
財団法人日本情報処理開発協会(JIPDEC)では企業の情報セキュリティを確保する制度として「ISMS(情報セキュリティマネジメントシステム)」を運営している。ISMSとPCI DSSは情報セキュリティ基準として「セキュリティポリシー」「人的セキュリティ」「物理・環境セキュリティ」「アクセス制御」「通信・運用管理」など重なる要素も多い。JIPDECでは2006年から、クレジット産業向けにPCI DSSとISMSの関係性を記した「クレジット産業向け ユーザーズガイド」として公開している。同協会の情報マネジメント推進センター副センター長 高取敏夫氏、同センター 係長 野中武志氏に話を聞いた。
2006年にユーザーズガイドを発行
Version1.2からは加盟店向けガイドも作成
――JIPDEC様のPCI DSSに関連したこれまでの取り組みについてご説明ください。
高取:2006年から、ISMS適合性評価制度技術専門部会が取りまとめを行う「クレジット産業向け ユーザーズガイド」を公開しています。クレジット産業における情報セキュリティの重要性、ISMSとPCI DSSのマッピング、適合した事例などがまとめられており、バージョンがアップするごとにアップデートを行っています。Version 1.2からは準拠を目指す加盟店の方に最初にお読みいただく内容をイメージした「クレジット加盟店向け“情報セキュリティのためのガイド”(PCI DSS/ISMS準拠のためのガイド)」を公開しました。加盟店の方にご理解いただきやすいように図を多く含んでおり、まずは同ガイドをお読みいただいてから、クレジット産業向けユーザーズガイドで基準の概要などをご理解いただければと考えています。加盟店向けのガイドはクレジット会社が加盟店にPCI DSSとISMSの適合性をご説明いただく際の資料として、ご活用いただいています。
当協会が運営する情報セキュリティのマネジメントを対象としたISMSとペイメントカードの国際基準であるPCI DSSを合わせて遵守することにより、加盟店やサービスプロバイダはバランスのとれた情報セキュリティの確保や維持につなげることが可能です。図にあるように経済産業省が与信業者向けに作成した「信用分野における個人情報保護ガイドライン」「経済産業分野における個人情報保護ガイドライン」といったコントロールを実施すれば情報セキュリティを立体的にカバーできます。
野中:10月28日にVersion 2.0が発行されましたので、現在、ISMS適合性評価制度技術専門部会で2つのガイドの改訂を進めています。Version2.0は1.2に比べて基準の要件自体は大幅な変更はありませんでしたので、加盟店向けガイドについては細かい変更になります。一方、クレジット産業向けユーザーズガイドについては、PCI DSSの要件のなかにガイダンスが追加になったため、内容に厚みが増すと思います。加盟店向けガイドは年内、クレジット産業向けユーザーズガイドは来年3月までにはWeb上で公開する予定です。
30~40社がISMS、PCI DSSの両基準を取得
変化するIT技術に合わせて基準も対応へ
――現在、ISMSとPCI DSSの両基準を取得した企業はどのくらいございますか?現時点の成果も含めてお答えください。
野中:カード会社様や認定セキュリティ評価機関(QSA)との話によると、30~40社がISMSとPCI DSSの両基準の認定を取得しています。2006年のユーザーズガイドではNTTデータ様の事例を掲載しましたが、その当時はほとんど両基準を取得した事例はありませんでした。その当時から比較するとまずまずの成果だと思っています。ISMSとPCI DSSの両基準の審査が行えるのは、エーエスアール、国際マネジメントシステム認証機構、BSIグループジャパン、TUVラインランド・ジャパンの4社になります。
今年はPCI DSSのゼネラルマネージャーのBob Russo氏が来日した際に当協会をご訪問いただき、国内の状況について説明させていただきました。
高取:2006年当時に比べるとPCI DSSというキーワードは普及したと思います。クレジット産業向けのPCI DSSの基準にISMSを取り上げて上手く取り込むというのが出発点でしたが、そこから考えると浸透したと感じています。ISMSの取得はITサービスや製造業などが多いですが、PCI DSSの対象となる加盟店などの流通業は、まだまだこれからだと感じています。その意味ではPCI DSSが普及すればISMSの取得企業にも広がりが出てくると期待しています。
――JIPDEC様の今後の取り組みについてはいかがでしょうか。
野中:POSなどの対面型加盟店は、まだまだ普及の余地があるのかなと思っていますので、そこに訴えるような展開を考えていきたいと思います。
高取:当協会には認定業務の3本の柱がありまして、「情報セキュリティ」「ITサービス」「事業継続」の制度を運営しています。認証を考えた場合、それぞれ要求事項は異なりますが、ITという基盤は共通です。今後は、セキュリティという観点だけではなく提供するサービスが一体となって統合化されたものを提供する必要があると考えています。その際に、クレジット産業向けの基準をどうやってインプリメントするかをガイドにできればと考えています。ITを取り巻く技術は変化していますので、クレジット産業向けのガイドについてもそれに合わせて進化させていく方針です。
