2011年5月9日12:00
国内におけるPCI DSSの普及状況は?
2010年のPCI DSSの準拠件数は約60件
ギャップ分析など対応を進める企業は増加
PCI DSS(Payment Card Industry Data Security Standard)は、Visa、MasterCard、JCB、AmericanExpress、Discoverの国際ペイメントブランドが制定したペイメントカード業界におけるセキュリティ基準である。PCI DSSは6項目12要件で構成され、国際ペイメントブランドが付与されたカード情報を「処理/伝送/保存」する加盟店、サービスプロバイダが対象となる。
国際ブランドが搭載されたクレジットカードは世界中のリアル、インターネット加盟店で取引が可能である。最近では国際ブランド搭載のデビットカードやプリペイドを国内のイシュア(カード発行会社)が発行するケースも増えてきた。すそ野が広がるペイメントカードの取引において、セキュリティを一定に保つための1つの基準としてPCI DSSが果たす役割は大きい。
QSA(認定セキュリティ評価機関)によると2010年にPCI DSSに準拠した企業は60件程度であるという。2009年が40件程度であったことを考えると準拠企業数は増えているが、「当初の期待ほどは準拠数が伸びなかった」と考えるQSAは多い。
特に昨年はVisaがレベル1(年間600万件以上のVisaブランドのカードを取引もしくはVisaがレベル1と判断した加盟店)に対してAIS(米国ではCISP)の遵守期限を2010年9月末までと設定したため、準拠企業は大幅に増えると期待した企業は多かった。
現状、国内では決済代行事業者やホスティング事業者などのサービスプロバイダから準拠が進んでいる。レベル1、レベル2加盟店としては、アリコジャパン、ヤフー、楽天、NECビッグローブ、ニフティ、DMM.comといった企業が準拠を果たしているが、2010年以降、準拠に向けた検討をスタートした企業が多いのが実情だろう。あるカードブランドは、「ギャップ分析などを行っている企業は増えていますが、想像以上に準備とコストがかかるため、対応が遅れているケースも多いです」と説明する。実際、ある大手カード会社は3年計画で準拠に向けた取り組みを始めているように、セキュリティ対策に取り組んでいる企業であっても準拠まで数年かかることも多い。また、準拠を果たしている企業、特に加盟店からは、準拠に向けた投資コストに加え、維持コストがISMSなどと比べて高い点も課題として挙がった。
特にリアルの加盟店に関しては、POSの仕様変更や端末の置き換えといった投資コストがネックとなっているようだ。
「リアルの加盟店においてはレビューの結果、現行POSの仕様など技術的な課題が見つかり、PCI DSS遵守対応に予想以上の時間を要しているケースもございます」(Visa)
「加盟店の準拠状況は期待しているより遅いと見ていますが、その理由の1つには、PCI DSS への準拠に伴うコストがあるとみています。例えば、デパートやディスカウントストアのように、すでに統合されたPOS 端末を導入している加盟店の場合、端末を替えなくてはいけないことに二の足を踏んでしまいます。また、オンサイトレビューやPCI DSSに準拠するために必要な事項にかかるコストが加盟店の準拠をためらわせる要因になっていると思われます」(MasterCard)
PCI DSSの準拠で先行する米国ではレベル1加盟店の約95%が準拠しているという。一部の州では、州法でPCI DSSの遵守を義務化しており、対応コストを下げるノウハウも蓄積されてきた。また、米国では民間の最終消費支出の約5割がペイメントカードの取引となっている。そのため、PCI DSSへの対応は業務上必要であると考える企業が多く、アクワイアラなどから準拠を押しつけられているという意識のある日本の加盟店に比べ、セキュリティに対する意識も高い。
業界レベルで普及に向けた本格的な議論が始まる
ブランド、カード会社が加盟店にPCI DSSの説明を行う
ただし、普及のきざしもある。まずビザ・ネット・プロセッサー(VNP)の期限に向け、国内の主要なカード会社が準拠に向けた取り組みをスタートさせた。VNPに加え、PCI DSS Version2.0からは、カード会社(イシュア、アクワイアラ)も準拠対象となることが正式に盛り込まれている。
2011に入り、日本国内でPCI DSSの普及に向けた業界レベルの本格的な議論が始まっていることもプラスになるだろう。また、国内で活動するカード会社、ブランドによる「4ブランド合同PCI DSS推進タスクフォース」により、加盟店への提案活動も活発に行われた。これらの背景としては、改正割賦販売法の施行によりカード会社の加盟店に対する監督責任が生まれたこと、国内の加盟店でのカード情報流出事故の増加など、ペイメントカードのセキュリティ対策が喫緊のテーマとして認識されてきていることが挙げられる。
また、経済産業省委託調査である「平成22年度コンピュータセキュリティ早期警戒体制の整備事業 (安全な電子決済実現に向けた情報セキュリティ対策に関する調査事業)」について、三井物産セキュアディレクション、国際マネジメントシステム認証機構、コグテックコーポレーションの3社で受託し、実施報告書が経済産業省のWebサイトで公開された。同報告書には、クレジットカード会員情報の保護施策として、PCI DSSの概要、加盟店やサービスプロバイダの対応状況、各要件の対応方法、代替コントロールの適用事例などが詳しくまとめられている。同報告書に関しては、今後、アクワイアラが加盟店やサービスプロバイダにPCI DSSなどのカードセキュリティを説明する際の資料として活用されることは間違いない。
また、PCI DSS関連のベンダーやQSA、ASVなどが中心となって活動する日本カード情報セキュリティ協議会(JCDSC)、PCI SSC加盟の国内企業が活動するPCI SSC PO Japan連絡会など、PCI DSSの関連団体も引き続き積極的に活動している。
最近では、インターネット決済において、決済方法を選択した後の処理を決済代行事業者側で行う「カード会員情報非保持(画面遷移型)」を決済代行事業者が提案する動きも目立つ。同方式を採用すれば、最大280項目のPCI DSSの要件を13項目(自己問診:SAQタイプA)まで抑えることが可能だ。すでに過去に情報漏えいを起こした企業など、複数の企業がカード会員情報非保持を採用している。
加えて、カード情報に置き換わる別の数値(乱数)で情報処理を進める「Tokenization(トークナイゼーション)」方策も米国では広く採用されており、PCI DSSの新技術として注目されている。すでにEMCジャパン(RSA事業部)や日本セーフネットなどが関連ソリューションを販売しており、加盟店や決済代行事業者からの引き合いも多いという。