2010年11月29日8:47

クレジット産業向けにISMSとPCI DSSの両審査の取得を推進
Version2.0のユーザーズガイドもWebで公開予定

財団法人日本情報処理開発協会(JIPDEC)では企業の情報セキュリティを確保する制度として「ISMS(情報セキュリティマネジメントシステム)」を運営している。ISMSとPCI DSSは情報セキュリティ基準として「セキュリティポリシー」「人的セキュリティ」「物理・環境セキュリティ」「アクセス制御」「通信・運用管理」など重なる要素も多い。JIPDECでは2006年から、クレジット産業向けにPCI DSSとISMSの関係性を記した「クレジット産業向け ユーザーズガイド」として公開している。同協会の情報マネジメント推進センター副センター長 高取敏夫氏、同センター 係長 野中武志氏に話を聞いた。

2006年にユーザーズガイドを発行

Version1.2からは加盟店向けガイドも作成

――JIPDEC様のPCI DSSに関連したこれまでの取り組みについてご説明ください。

高取:2006年から、ISMS適合性評価制度技術専門部会が取りまとめを行う「クレジット産業向け ユーザーズガイド」を公開しています。クレジット産業における情報セキュリティの重要性、ISMSとPCI DSSのマッピング、適合した事例などがまとめられており、バージョンがアップするごとにアップデートを行っています。Version 1.2からは準拠を目指す加盟店の方に最初にお読みいただく内容をイメージした「クレジット加盟店向け“情報セキュリティのためのガイド”(PCI DSS/ISMS準拠のためのガイド)」を公開しました。加盟店の方にご理解いただきやすいように図を多く含んでおり、まずは同ガイドをお読みいただいてから、クレジット産業向けユーザーズガイドで基準の概要などをご理解いただければと考えています。加盟店向けのガイドはクレジット会社が加盟店にPCI DSSとISMSの適合性をご説明いただく際の資料として、ご活用いただいています。

図 PCI DSSとISMSの相関イメージ図

当協会が運営する情報セキュリティのマネジメントを対象としたISMSとペイメントカードの国際基準であるPCI DSSを合わせて遵守することにより、加盟店やサービスプロバイダはバランスのとれた情報セキュリティの確保や維持につなげることが可能です。にあるように経済産業省が与信業者向けに作成した「信用分野における個人情報保護ガイドライン」「経済産業分野における個人情報保護ガイドライン」といったコントロールを実施すれば情報セキュリティを立体的にカバーできます。

野中:10月28日にVersion 2.0が発行されましたので、現在、ISMS適合性評価制度技術専門部会で2つのガイドの改訂を進めています。Version2.0は1.2に比べて基準の要件自体は大幅な変更はありませんでしたので、加盟店向けガイドについては細かい変更になります。一方、クレジット産業向けユーザーズガイドについては、PCI DSSの要件のなかにガイダンスが追加になったため、内容に厚みが増すと思います。加盟店向けガイドは年内、クレジット産業向けユーザーズガイドは来年3月までにはWeb上で公開する予定です。

30~40社がISMS、PCI DSSの両基準を取得

変化するIT技術に合わせて基準も対応へ

――現在、ISMSとPCI DSSの両基準を取得した企業はどのくらいございますか?現時点の成果も含めてお答えください。

財団法人日本情報処理開発協会 情報マネジメント推進センター 副センター長 高取敏夫氏(左)、同センター 係長 野中武志氏(右)

野中:カード会社様や認定セキュリティ評価機関(QSA)との話によると、30~40社がISMSとPCI DSSの両基準の認定を取得しています。2006年のユーザーズガイドではNTTデータ様の事例を掲載しましたが、その当時はほとんど両基準を取得した事例はありませんでした。その当時から比較するとまずまずの成果だと思っています。ISMSとPCI DSSの両基準の審査が行えるのは、エーエスアール、国際マネジメントシステム認証機構、BSIグループジャパン、TUVラインランド・ジャパンの4社になります。

今年はPCI DSSのゼネラルマネージャーのBob Russo氏が来日した際に当協会をご訪問いただき、国内の状況について説明させていただきました。

高取:2006年当時に比べるとPCI DSSというキーワードは普及したと思います。クレジット産業向けのPCI DSSの基準にISMSを取り上げて上手く取り込むというのが出発点でしたが、そこから考えると浸透したと感じています。ISMSの取得はITサービスや製造業などが多いですが、PCI DSSの対象となる加盟店などの流通業は、まだまだこれからだと感じています。その意味ではPCI DSSが普及すればISMSの取得企業にも広がりが出てくると期待しています。

――JIPDEC様の今後の取り組みについてはいかがでしょうか。

野中:POSなどの対面型加盟店は、まだまだ普及の余地があるのかなと思っていますので、そこに訴えるような展開を考えていきたいと思います。

高取:当協会には認定業務の3本の柱がありまして、「情報セキュリティ」「ITサービス」「事業継続」の制度を運営しています。認証を考えた場合、それぞれ要求事項は異なりますが、ITという基盤は共通です。今後は、セキュリティという観点だけではなく提供するサービスが一体となって統合化されたものを提供する必要があると考えています。その際に、クレジット産業向けの基準をどうやってインプリメントするかをガイドにできればと考えています。ITを取り巻く技術は変化していますので、クレジット産業向けのガイドについてもそれに合わせて進化させていく方針です。

関連記事

ペイメントニュース最新情報

国内最大級のクレジットカード情報データベース(アイティーナビ)

チャージバック保証、不正検知・認証システムなどクレジットカード不正対策ソリューションを提供(アクル)
PayBやWeChatPay/Alipay等のスマートフォン決済、 リアルタイム口座振替、信頼性の高い収納代行、送金など、 様々な決済ソリューションを提供(ビリングシステム)

モバイル決済端末 (mPOS/SmartPOS) やQRコードリーダーをOEM/ODMでご提供します。お客様に代わってセキュリティ認定も取得可能です。(飛天ジャパン)

SaAT ポケレジ スマートフォン、タブレットがクレジット決済端末に!(ネットムーブ)

「Alipay」「WeChat Pay」中国最大規模のオンライン決済サービス(トリニティ)

ブランドプリペイド/デビット、クレジットの基幹プラットフォームを中心にご紹介、決済事業者様のデジタルトランスフォーメーションやFintechへの取り組みを強力にご支援します。(エクサ)

国内ICカードシェアNo.1(大日本印刷)

国内最大級の導入実績を誇る決済代行事業者(GMOペイメントゲートウェイ)

シンクライアント型電子決済サービス(トランザクション・メディア・ネットワークス)

「ハウス電子マネー/ギフトカードサービス」のニュース、導入事例のご紹介(富士通FIP)

設立20年以上の実績を誇る決済サービスプロバイダ。クレジットカード決済をはじめ、対面・非対面問わず豊富な決済手段を取り揃え、ニーズに合わせて最適な決済方法をご提案します。(ゼウス)

決済情報コラムを好評連載中!「コンビニ収納ペーパーレス決済(番号方式)のわずかな、でも大事な違い」(NTTインターネット)

非対面業界唯一!!カード会社とダイレクト接続により、安心・安全・スピーディーで質の高い決済インフラサービスを提供。Eコマースの健全な発展に貢献する決済代行事業者(ソニーペイメントサービス)

クレジット・デビットカード、銀聯カード、ギフトカード、リアルタイム口座振替、ペイジーなどの様々なサービスに関するソリューションをご提供(富士通)

シンクライアント決済ソリューション「Thinc-CORE(シンクコア)」 EMVレベル2認証取得でICクレジットカード対応を実現(セイコーソリューションズ)

不正決済対策の本質と弊社のサービス提供スタンス(スクデット)

世界最大のギフト・プリペイドサービス事業者(インコム・ジャパン)

全国180社以上の導入実績を誇る「CARD CREW PLUS」(ジィ・シィ企画)

カードシステムシェア70%の実績「NET+1」、不正検知システム国内導入実績NO,1「ACEPlus」(インテリジェントウェイブ)

PAGE TOP