改正割賦販売法に伴うカード業界セキュリティの動向(2) | ScanNetSecurity
2024.04.28(日)

改正割賦販売法に伴うカード業界セキュリティの動向(2)

●国のセキュリティ基準策定への階層構造

特集 特集
facebookLINE
●国のセキュリティ基準策定への階層構造

 こうした国の基準は、法律〜政令・施行令〜省令・施行規則〜細則など、多くの階層からできているので、なかなか一般人には理解しにくいところだ。細かな規則をすべて法律の条文で定めてしまうと、情勢の変化に対応して改定しようと思っても、すべて国会での承認が必要になってしまうので、法令の範囲で政令や管轄省庁が定める省令によって、細かい部分に対応しようと、こうした階層になっている。ではこうしたルール階層の流れに沿って、現在の進行状況を見てみよう。


日本オフィス・システム株式会社 森 大吾 氏
コンサルティング推進室内部統制、セキュリティ、PCIDSS等を担当している。



●政令ではセキュリティの具体策に関与せず

 経済産業省では、「割賦販売施行令の一部を改正する政令案」に対するパブリックコメントを、2008年12月26日から1ヶ月間公募し、意見結果を2009年4月4日に公表した。この割賦販売施行令というのは政令で、カードセキュリティに関して具体的な基準そのものには関与していない。たとえば、「クレジットカード番号等の適切な管理措置のために必要な措置の実施状況、加盟店への指導状況等を報告徴収事項等として定めることとする」などといった具合だ。

政令案パブリックコメントの回答
http://search.e-gov.go.jp/servlet/Public?ANKEN_TYPE=3&CLASSNAME=Pcm1090&KID=595108101&OBJCD=&GROUP=

 パブリックコメントに対する経産省の回答を見ると、「カード情報の適切な管理措置の内容を、具体的に規定すべきではないか」との意見を提出した人がいたらしく、それに対して「具体的内容については、施行規則で規定するので、改めてパブリックコメントによる意見募集もした上で、決めていく予定」と回答していた。

●続いて施行規則案への意見公募

 その回答に沿う形で、経産省では次のステップとして2009年5月1日から5月30日まで、省令(割賦販売法施行規則)案に対するパブリックコメントを公募した。この施行規則案は、新旧対象文で185ページからなるボリュームがあり、確かに政令と比べれば具体的な施行規則案となっている。しかしクレジットカード情報の安全管理に関しては、おもに2つの条文があるのみで、まだまだ抽象的だ。

省令案へのパブリックコメント募集
http://search.e-gov.go.jp/servlet/Public?CLASSNAME=Pcm1010&BID=595109031&OBJCD=&GROUP=

 まず132条で、

1)カード情報を扱う従業者に対する規程類を整備して、カード番号などの情報管理を適切に行うこと。

2)従業者への教育訓練と監督を適切に行うこと。

3)不正アクセス防止のための措置を講ずること。

4)情報へのアクセスや操作のログを記録しておくこと。

5)漏えい事故が発生した場合の、不正利用防止措置を講ずること。

などとし、次の133条では、委託先を含めて漏えい事故が発生した場合の報告・連絡体制や、再発防止の措置を講ずること、などを定めている。つまり、具体的にどのようなレベルまで規程を整備すればよいのか、たとえばアクセスログの記録はどこまでのシステム範囲を対象として、保管期間はどの程度なのか、データの送信や保管における暗号化はどのような手法をとればよいのか、といった細かい部分については、すべて「適切な安全管理を講ずる」という言葉でまとめられてしまっている。

 ただしこれは経産省の施行規則が不充分ということではないだろう。改正割賦販売法そのものに始めから明記されているとおり…

※この原稿は2009年5月10日現在の情報をもとに執筆されています。

【執筆:森 大吾】
日本オフィス・システム株式会社  コンサルティング推進室
内部統制、セキュリティ、PCIDSS等を担当

日本オフィス・システム株式会社(東京都中央区日本橋箱崎町、代表取締役社長・水谷正裕)は、日本IBMと兼松の合弁によるソリューション・プロバイダーとして1982年創業。近年ではNTTコミュニケーションズも資本参加している。PCIDSS関連では、QSA(認定監査機関)・米国ControlCase社の日本窓口を担当するとともに、PCI認定スキャンツール・ControlCaseGRC(バルネラ・アセッサー)を取り扱っており、2009年4月に設立された「日本カード情報セキュリティ協議会(略称JCDSC)では、NTTデータセキュリティ株式会社とともに事務局を担当している。

【関連記事】
改正割賦販売法に伴うカード業界セキュリティの動向(1)
https://www.netsecurity.ne.jp/7_13290.html

【関連リンク】
日本オフィス・システム株式会社
http://www.nos.co.jp/
──
※ この記事は Scan購読会員向け記事をダイジェスト掲載しました
購読会員登録案内
http://www.ns-research.jp/cgi-bin/ct/p.cgi?m-sc_netsec

《ScanNetSecurity》

PageTop

アクセスランキング

  1. 今日もどこかで情報漏えい 第23回「2024年3月の情報漏えい」なめるなという決意 ここまでやるという矜恃

    今日もどこかで情報漏えい 第23回「2024年3月の情報漏えい」なめるなという決意 ここまでやるという矜恃

  2. 雨庵 金沢で利用している Expedia 社の宿泊予約情報管理システムに不正アクセス、フィッシングサイトへ誘導するメッセージ送信

    雨庵 金沢で利用している Expedia 社の宿泊予約情報管理システムに不正アクセス、フィッシングサイトへ誘導するメッセージ送信

  3. セトレならまちで利用している Expedia 社の宿泊予約情報管理システムに不正アクセス、フィッシングサイトへ誘導するメッセージ送信

    セトレならまちで利用している Expedia 社の宿泊予約情報管理システムに不正アクセス、フィッシングサイトへ誘導するメッセージ送信

  4. 重い 高い 検索も使いにくいメールを企業の 6 割が使う理由

    重い 高い 検索も使いにくいメールを企業の 6 割が使う理由

  5. スペシャリスト集結! マネーフォワード・ラック・富士ソフト・電通総研から学ぶ、脆弱性診断内製化の成功法則とは? AeyeScan 導入企業との公開対談

    スペシャリスト集結! マネーフォワード・ラック・富士ソフト・電通総研から学ぶ、脆弱性診断内製化の成功法則とは? AeyeScan 導入企業との公開対談PR

  6. RoamWiFi R10 に複数の脆弱性

    RoamWiFi R10 に複数の脆弱性

  7. 富士通の複数の業務パソコンにマルウェア、個人情報を含むファイルを不正に持ち出せる状態に

    富士通の複数の業務パソコンにマルウェア、個人情報を含むファイルを不正に持ち出せる状態に

  8. 札幌で「CSIRT のはじめ方」ワークショップ 5/16 開催、北海道在勤在住者は参加費 5 万円が無料

    札幌で「CSIRT のはじめ方」ワークショップ 5/16 開催、北海道在勤在住者は参加費 5 万円が無料

  9. 2024年第1四半期 IPA 情報セキュリティ安心相談窓口の相談状況、サポート詐欺被害時の漏えい可能性判断ポイントほか

    2024年第1四半期 IPA 情報セキュリティ安心相談窓口の相談状況、サポート詐欺被害時の漏えい可能性判断ポイントほか

  10. LINEヤフー委託先への不正アクセス、報告書を受け 2 度目の行政指導

    LINEヤフー委託先への不正アクセス、報告書を受け 2 度目の行政指導

ランキングをもっと見る
ホーム 特集 特集 記事
TOP