(1)PCI DSS普及に向けたJCBの取り組み

 2010年6月21日 15:58

際ブランドとして「JCBデータセキュリティプログラム」を推進

各国の事情や決済環境に応じて普及に取り組む

JCBは国内唯一のクレジットカードの国際ブランドだ。同社ではPCI DSS準拠の診断プログラムとして「JCBデータセキュリティプログラム」を推奨している。同社の取り組みについてブランド事業統括部門 ブランド事業統括部 部長代理の井上憲司氏に話を聞いた。

国内ではブランド、アクワイアラ

両方の立場で推進

JCBは日本に限定するとブランド会社でもありアクワイアラでもある。PCI DSSに関してはその両方の立場で推進しているが、加盟店への働きかけはアクワイアリング部門が中心となり行っている。同社ではビザ・ワールドワイドやマスターカード・ワールドワイドのように加盟店やサービスプロバイダのPCI DSS取得期限は設けず、日本の市場環境に応じた推進方針をとっている。同社・ブランド事業統括部門 ブランド事業統括部 部長代理の井上憲司氏は「数年前から比べると加盟店やサービスプロバイダのカード情報セキュリティに対しての意識は非常に高まっている」と説明する。

「JCBデータセキュリティプログラム」受診の目安(出典:JCBのWebサイト)

JCBが提供する「JCBデータセキュリティプログラム」では、JCB加盟店やサービスプロバイダ(決済代行事業者)に対し、3種類の診断プログラム(自己診断、脆弱性スキャンテスト、訪問調査)を用意している。診断プログラム受診の目安についてはJCBカードの取扱件数やインターネットを介した取り扱いの有無によって異なる。

例えば、加盟店でインターネットを介したJCBカードの取扱件数が100万件以上の場合は四半期ごとの脆弱性スキャニングテストと年次の訪問審査を、100万件未満は自己問診と四半期ごとの脆弱性スキャニングテストを推奨している。サービスプロバイダで、インターネットを介したJCBカードの取り扱いがある場合は四半期ごとの脆弱性スキャニングテストと年次の訪問審査を、インターネットを介したJCBカードの取り扱いがない場合は年次の訪問審査を推奨している(JCBデータセキュリティプログラムのWebサイト)。

推進の第一優先はEC加盟店

EC加盟店がカード会員情報を保持しない環境を

昨今、国内ではEC加盟店のWebサイトがSQLインジェクションなどの被害に遭い、カード会員情報を外部に流出する事故が相次いでいる。そのため、JCBではインシデントを起こした加盟店や、その企業同様に情報流出の危険性が高いEC加盟店から優先的にアプローチを実施している。

「優先順位としてはEC加盟店から取り組む必要があると考えています。取得のスケジュールなどについては各社の状況を踏まえ、個別に対応しています」(井上氏)

その一方で、PCI DSSを取得しているサービスプロバイダにカード会員情報を預け、自らのECサイトで決済処理を行わない画面遷移型も広がってきている。同社では、PCI DSSに準拠することは、カード会員情報の流出を防ぐためのツールであると考えており、リスクを極小化するための有効な方策としてカード会員情報をPCIDSSに準拠しているサービスプロバイダに委託することを勧めている。

2009年以降は国内環境に変化も

ブランドとして普及に向け橋渡しの役割を

2009年以降は、PCI DSSを取り巻く国内環境にも変化が見られるという。2008年までは各ブランドが個別にアクワイアラを通して取得を推進するケースが一般的だったが、2009年春には国内でPCIDSSに関するさまざまな検討や意見交換を行う協議会や推進体が発足。各ブランドやアクワイアラ、ベンダー、QSA(認定セキュリティ評価機関)、ASV(認定スキャニングベンダー)などが情報交換などを行うなど、業界挙げての取り組みが活発化してきた。

「昨年からは各社がこれまで培ってきた経験値やノウハウを含めて、PCI DSSを取り巻く課題を解決するための議論が活発化してきました。弊社としてはPCI SSCのコミッティに参加している経験を生かして、他国での成功事例や、普及に向けてどこの国でどんな努力が行われているかを紹介したり、日本の動向について海外に橋渡しをしたり、といった対応が求められています」(井上氏)

PCI DSSは米国から普及が始まったが、着実に米国外に広がっている。JCBでは国内の加盟店開拓、管理については自社のアクワイアリング部門が中心となり行っているが、海外については現地の金融機関と提携しているケースが多い。

「海外展開においての加盟店業務は現地の金融機関と提携していますが、PCI DSSについても現地のアクワイアラに推進していただく立場になります。米国、その近隣の地域ではPCI DSSの取得が広まってきましたが、欧州とアジア・太平洋地域でも徐々に普及が進んできました。日本以外の状況も踏まえ、世界全体を見渡して、それぞれの国の事情や決済環境に応じた取り組みの手法を考えていかなければなりません。カード犯罪の手口、実際に行われる地域などは常に変化があるため、PCI DSSの普及はデータセキュリティ全体の強化に重要な役割を果たすと思います」(井上氏)

同社では今後も、関係するプレイヤーとの協議や調整を踏まえた上でPCI DSSを推進していく方針だ。

関連記事

ペイメントニュース最新情報

国内最大級のクレジットカード情報データベース(アイティーナビ)

国内最大級の導入実績を誇る決済代行事業者(GMOペイメントゲートウェイ)

チャージバック保証、不正検知・認証システムなどクレジットカード不正対策ソリューションを提供(アクル)

設立25年以上の実績を誇る決済サービスプロバイダ。クレジットカード決済をはじめ、対面・非対面問わず豊富な決済手段を取り揃え、ニーズに合わせて最適な決済方法をご提案します。(ゼウス)

モバイル決済端末 (mPOS/SmartPOS) やQRコードリーダーをOEM/ODMでご提供します。お客様に代わってセキュリティ認定も取得可能です。(飛天ジャパン)

PayBやWeChatPay/Alipay等のスマートフォン決済、 リアルタイム口座振替、信頼性の高い収納代行、送金など、 様々な決済ソリューションを提供(ビリングシステム)

SaAT ポケレジ スマートフォン、タブレットがクレジット決済端末に!(ネットムーブ)

「Alipay」「WeChat Pay」中国最大規模のオンライン決済サービス(トリニティ)

ブランドプリペイド/デビット、クレジットの基幹プラットフォームを中心にご紹介、決済事業者様のデジタルトランスフォーメーションやFintechへの取り組みを強力にご支援します。(エクサ)

国内ICカードシェアNo.1(大日本印刷)

シンクライアント型電子決済サービス(トランザクション・メディア・ネットワークス)

「ハウス電子マネー/ギフトカードサービス」のニュース、導入事例のご紹介(富士通FIP)

決済情報コラムを好評連載中!「コンビニ収納ペーパーレス決済(番号方式)のわずかな、でも大事な違い」(NTTインターネット)

非対面業界唯一!!カード会社とダイレクト接続により、安心・安全・スピーディーで質の高い決済インフラサービスを提供。Eコマースの健全な発展に貢献する決済代行事業者(ソニーペイメントサービス)

クレジット・デビットカード、銀聯カード、ギフトカード、リアルタイム口座振替、ペイジーなどの様々なサービスに関するソリューションをご提供(富士通)

シンクライアント決済ソリューション「Thinc-CORE(シンクコア)」 EMVレベル2認証取得でICクレジットカード対応を実現(セイコーソリューションズ)

不正決済対策の本質と弊社のサービス提供スタンス(スクデット)

世界最大のギフト・プリペイドサービス事業者(インコム・ジャパン)

全国180社以上の導入実績を誇る「CARD CREW PLUS」(ジィ・シィ企画)

カードシステムシェア70%の実績「NET+1」、不正検知システム国内導入実績NO,1「ACEPlus」(インテリジェントウェイブ)

PAGE TOP