三井住友カードでは、インターネットサービス環境を対象に、2007年9月に国内カード会社として初となるPCI DSS Ver.1.1の認定を取得した。また、同1.2の取得のための対応も進めている。同社ではその経験を生かして、加盟店にPCI DSSの認証取得の推奨を行っている。
審査基準の厳密化に備え
今回は予備調査を実施
三井住友カードでは、PCI DSS Ver.1.2を取得するために2009年に予備調査を実施している。
「アメリカでPCI DSSに完全準拠していた企業から情報漏洩が起きたという経緯もあり、PCI SSCがQSAの審査結果を監査する体制がとられているようです。そのため、1.1の時のようにはいかないのではないかと予想したのが、今回、予備調査を実施した理由です。実際、1.1の時には証跡を求められなかった箇所でも、今回はかなり細かい点まで審査が及びました」(三井住友カード セキュリティー管理部 グループマネージャー 田添裕嗣氏)
脆弱性のスキャンや暗号化など、代替コントロールが必要になった箇所は前回より増え、セキュリティパッチの適用も厳密になったという。
「以前なら、口頭の確認だけで済んでいた部分も、今回は書類の確認が必要になりました。QSAとしては『やる以上は徹底してやる』という姿勢でしたね」(システム企画部 グループマネージャー 神野明久氏)
ブランドの意向に沿う形で
カード会社もPCI DSSの審査対象に
そもそも、カード会社は厳密に言えばPCI DSSの審査対象ではなかった。しかし、VisaでVNP(ビザ・ネット・プロセッサー)というプログラムが制定され、プロセッサー、つまり他社のカードを受託しているカード会社もPCI DSSの準拠が必要になった。
「ブランドとしてはやはり、自ブランドカードで情報漏洩などが起こるという事態はなるべく避けたいわけです。そこで、まずはカード会社に徹底したセキュリティ態勢をとらせたいと考えた。その結果、PCI DSSのような目に見える形の規格を、しかも期限を決めて適用させようとしているのではないでしょうか」(田添氏)
カード会社にとっても、ブランドの信用は自社の存続にかかわる。さらに田添氏は「セキュリティの問題はカード業界全体の問題です。エンドユーザーからクレジットカードに対する信用を失わせてはいけない。そのためには、ブランドがどうとかではなく、やはり業界全体のインフラとして、PCI DSSを統一の規格とする意気込みで取り組んでいかなければいけないと思っています」と続ける。
加盟店に対するサポートに意欲
業界全体の推進力に
次の段階としては、個々の加盟店にいかに浸透させていくかということになる。三井住友カードではブランドの要請を受け、加盟店にPCI DSSの認証取得の推奨を行っているが、同社 セキュリティー管理部 グループマネージャーの三好一也氏は「はじめからPCI DSSという規格の説明をするよりも、まずはセキュリティに対する認識をわれわれと同じレベルで持ってもらうことが大切だと考えています。特にインターネット上からのカード番号盗用には注意が必要です」と言う。
たとえば、ネット加盟店において、万が一個人情報が漏洩した場合、少なくとも10日~12日程度の業務停止を余儀なくされる。さらに、ユーザーへの謝罪として用意しなければいけない金額もばかにはならない。もちろんそういった時のために漏洩保険をかけているという加盟店もあるだろうが、その場合でも信用失墜によるその後の売り上げ減少は大きな痛手となるだろう。
「セキュリティを取り扱うということには、それだけのリスクがあるということをまずは意識していただきたいのです。そうしたリスクを未然に回避するためにPCI DSSのような規格があるとご説明しています」(前出 田添氏)
ただPCI DSSは毎年審査があり、バージョンの更新も頻繁にあるため、加盟店にとっては負担が大きいのも事実だ。
「現実的な対処法として、カード情報をサーバの一箇所に集約させて審査の対象範囲を狭めることで審査コストを下げることができると思います。信用できる決済代行事業者様にカード情報を預けるといった方法もひとつのアプローチだと思います。われわれがPCI DSSの認証で経験したことを加盟店様に伝えて、できるだけ負担を減らすような方法を一緒に考える。そういったサポートをこれから力を入れてやっていきたいと思っています」(田添氏)
ブランドと加盟店をつなぐ位置にある同社が業界の連携を促し、気運を盛り上げていくことが、セキュリティに対する業界全体の取り組みの活性化につながると期待したい。
※三井住友カードは2010年3月25日付けで、カード会員向けインターネットサービス「Vpass(ブイパス)」において、PCI DSS Ver.1.2の遵守証明を取得した。
