2011年8月3日8:00
PCI SSC PO Japan連絡会が総会を開催
2011年度はPCI DSSの社会認知度の向上に力を入れる
PCI SSC PO Japan連絡会は、2011年6月29日、2011年度の総会を東京・港区のSBIグループセミナールームで開催した。2010年度は、「PCI DSS部会」「PTS/PA-DSS部会」の立ち上げなど6点の方針を掲げ、POメンバー(Participating Organizations)の意見をPCI基準の運営団体であるPCI SSCにフィードバックするなど、積極的な活動が目立った1年だった。
2010年度は「PCI DSS部会」「PTS/PA-DSS部会」を設置
今年の3月は日本側の意見をPCI SSCにフィードバック
PCI SSC PO Japan連絡会が発足したのは2009年だが、初年度は発足以外には目立った活動は行っていなかった。その反省も踏まえ、2010年度は具体的な活動を行うという観点から、「勉強会、ワーキンググループ(部会)の立ち上げの実施」「PCI DSS Version2.0の早期把握と会員への展開」「PTS、PA-DSSに関しても情報収集や研究を進める」「PCI DSSの施策はカード会社の施策にしたがうことが必要となるため、カードブランドとの交流を図り、実際の施策に関する理解を深める」「関係諸団体とも協力し、国内の啓蒙を図る」「会員増を図る」の6点の方針を掲げ、活動を行った。
まず、勉強会、ワーキンググループの立ち上げについては、「PCI DSS部会」「PTS/PA-DSS部会」の2つの部会を立ち上げた。PCI DSS部会は1度、PTS/PA-DSSは2度の会合の場を設け、今年の3月にPCI SSCに対し、国内のPO企業から要件事項の改善などの要望を提出した。これまで国内からは具体的なフィードバックが行われることはほとんどなかったが、2つの部会が協力して、初めてPCI SSCに具体的な報告を行うことができたという。両部会では、2011年度も継続して会合を行い、国内の商習慣にあった基準の策定や運用がなされるようにPCI SSC等への働きかけを継続していく。
2011年度は、PCI DSSやPA-DSSについては、ライフタイムサイクルの1年目ということで大きな動きはないと思われるが、PTSに関しては年末にドラフト版が出る可能性がある。その中にはATMのPINなどの基準が盛り込まれる可能性もあるため、情報をいち早く入手し、会員間で共有していきたいとしている。
新バージョンの把握としては、会員数社がPCI SSCの年次総会であるコミニティ・ミーティングが行われた米国とスペインに足を運び、情報をいち早く入手した。また、カード・ウェーブが開催したセミナーで講演を行い、広く情報発信を行った。
PTS/PA-DSSの理解を深める点については、前述のように部会を立ち上げ、PCISSCにフィードバックを実施。カードブランドとの交流としては、2011年2月にJCB、Visaと意見交換を行っており、今後も定期的に場を設ける予定だ。関係諸団体との啓蒙協力として、日本クレジット協会や特別会員である石油連盟との情報交換も行っている。さらに、経済産業省、QSAなどとは、セミナーなどの機会で情報を共有した。
課題となる会員数の増加に向けては、EMCジャパン、大日本印刷、DMM.com、インターネットペイメントサービスが2010年度に加わり、17社となった。
結果的に、昨年1年間は具体的な活動に踏み出した年であり、連絡会会員の評価として、活動状況が「非常によくなった」が25%、「良くなった」が63%を占めるなど、9割の会員に成果を感じてもらえるようになったという。
2011年度はPCI DSSのさらなる認知度向上に力を入れる
加盟店が積極的に参加できる体制を構築へ
2011年の活動方針としては、まず、加盟店がPCI DSSに投資した費用に対する効果を感じてらえるように、さらなる認知度向上に向けた活動を行う予定だ。2点目は、部会の開催以外にも、例えばPCI DSSの審査を受診するサービスプロバイダ同士が互いの悩みを共有する場などを設けるなど、意見交換を行う機会を増やしていきたいとしている。
また、同連絡会には、決済代行事業者などのサービスプロバイダ、DMM.comといった加盟店、PTSとPA-DSSの準拠の対象となる東芝テックなどが参加しているが、「ベンダーが集まる場」だと一部の加盟店などから誤解して捉えられているむきがあるそうだ。山崎会長も、「PCI DSSの準拠対象となる加盟店をはじめ、いろいろな基準に関するステークホルダーが集うバランスのよい体制を目指していきたいです」と話す。
さらに、PCI DSSは官公庁・自治体・学校法人・事業法人など、一般企業にも適用できる基準であり、最近ではトークナイゼーションなどの有効な技術も出てきているため、社会貢献に寄与する新しい取り組みにチャレンジしていきたいとしている。
日本クレジット協会の取り組みに期待
カード会社が準拠に向けた取り組みを開始
PCI DSSを取り巻く国内の状況としては、日本クレジット協会が、大手加盟店70社に対してPCI DSSの準拠を進めていく方針を固めた。これは大きな転換点で、国内の加盟店は欧州や米国に比べ、準拠している加盟店は少ないが、今後はPCI DSSの普及に弾みがつくと期待される。また、昨年から今年にかけてほぼ全ての大手クレジットカード会社がPCI DSS準拠への取り組みをスタートしている。例えば、国内最大手企業も2010年から3年がかりでプロジェクトを始め、系列のカード会社も認証を取得することを経営方針として固めている。また、国内の大手企業も海外子会社が起こした情報漏えい事件を受け、PCI DSSを取得する意思を固めたという。そのため、今年から来年にかけ、PCI DSSの社会的な認知度が進んでいくだろう。
ただ、認証を受けられた企業に対するインセンティブやメリットは課題で、米国のようにPCI DSSに準拠した企業が情報漏えいをした際の補償が免責になることはないため、コストをかけて認証を取得した見返りをさらに明白にしていく必要があるとしている。国内においては、米国型のインセンティブを伴う法改正は難しいが、プライバシーマークやISMSのように消費者からセキュリティに取り組む企業の評価が高まるような認証制度にするために、一般大衆紙を含めた広報が必要だとしている。また、6月には、PCI SSCから仮想技術に関するガイドラインである「バーチャライゼーション」がリリースされたが、セミナーなどを行うことにより、一般企業でも活用できることを訴えていく方針だ。
