自著を語る「PCI DSSのすべて」池谷貴(ブックレビュー) | ScanNetSecurity
2024.04.25(木)

自著を語る「PCI DSSのすべて」池谷貴(ブックレビュー)

国内および海外で情報漏洩事件が起きるたびに、当該企業がクレジットカード等の国際セキュリティ基準である「PCI DSS(Payment Card Industry Data Security Standard)」に準拠していたかどうかが話題となる。

調査・レポート・白書・ガイドライン ブックレビュー
facebookLINE
国内および海外で情報漏洩事件が起きるたびに、当該企業がクレジットカード等の国際セキュリティ基準である「PCI DSS(Payment Card Industry Data Security Standard)」に準拠していたかどうかが話題となる。

PCI DSSは、Visa、MasterCard、JCB、American Express、Discoverの国際カードブランド5社が定めた、ペイメントカード業界のセキュリティ基準だ。国際カードブランドが付与されたカード情報を「処理、伝送、保存」するすべての加盟店、サービスプロバイダが遵守する最低限のルールが定められている。

PCI DSSの準拠で先行する米国では、年間600万件以上の取引があるビザ・ワールドワイド(Visa)のレベル1加盟店で97%の準拠率がある。また、全世界の平均をみても約80%が遵守しているそうだ。しかし、国内においては、米国型のインセンティブを伴う法改正は難しいなどの課題があり、海外の平均からみても加盟店の準拠率は低いと言えるだろう。

2012年までの国内のPCI DSS の準拠企業は、約70社(システム)程度だといわれている。また、そのうち約9割が、決済代行事業者、情報処理センター、カード会社といったサービスプロバイダの準拠となっており、加盟店の準拠は一部のショッピングモールやインターネット・サービス・プロバイダ、保険会社などに留まっている。

楽天の「楽天市場」、ヤフーの「Yahoo!ウォレット」のインターネットショッピングモールは、早い段階から準拠を果たしている。PCI DSSへの対応は、一般的に膨大なコストがかかると言われているが、両社では準拠前から強固なセキュリティ対策を実施しており、他の加盟店に比べコストをかけずに対応を果たしている。NECビッグローブ、ニフティ、メットライフアリコといった企業は、システム規模が大きく、またカード会員情報をセグメントする作業を行ったため、準拠に向けてはそれなりのコストを有した。

また、リアルの大型店舗が準拠するためには、POSの入れ替えなど、膨大なコストが発生するため、準拠のハードルがさらに高くなっている。

従来、国内におけるPCI DSSの推進は、Visaを中心に、各ブランドが個別にアクワイアラを通して加盟店に要請するケースが一般的だったが、2009年以降は、クレジット関係団体、協議会などを中心に、業界挙げての取り組みが活発化している。また、国際ブランドやアクワイアラ(加盟店開拓企業)を中心に「タスクフォースプログラム」を結成し、加盟店に推進する取り組みも行われた。カード会社によっては独自に加盟店に訪問し、PCI DSSの準拠を勧める動きも出てきている。最近では、業界団体が、加盟店などに対し準拠期限を設けて、推進を行っている。

国際ブランドやカード会社によると、大手を中心に加盟店のPCI DSSに対する認知は広がり、取り組む姿勢も前向きになっているそうだ。また、国内の情報漏洩事件の多くは中小零細企業から発生しているため、インターネット決済代行事業者などでは、カード情報を保管しない「非保持化」を行うことで、リスクを回避する方法を中小加盟店に提案している。

PCI DSS普及に向けた最大の課題は、準拠および維持コストの低減であると言われているが、準拠企業によると「国内で展開するQSAが増えたことにより、監査コストは当初より格段に下がっている」という声もある。また、一般財団法人日本情報経済社会推進協会が運営する「ISMS(情報セキュリティマネジメントシステム)」とPCI DSSのブリッジ審査を行うことで、監査の負荷およびコストを軽減することに成功した企業も増えてきた。最近では、カード情報に置き換わる別のID番号(乱数)で情報処理を進める「Tokenization(トークナイゼーション)」方策など、PCI DSSの対象範囲を狭め、情報漏えいのリスクを軽減する手法もクローズアップされている。

今春、株式会社TIプランニングは、ペイメントカード情報を保持する企業のカードセキュリティ強化に向け、書籍「PCI DSSのすべて」を発行した。

PCI DSSのすべて
http://www.paymentnavi.com/book/22183.html

本書では、実際にPCI DSSに準拠した大手加盟店やサービスプロバイダなどの事例を中心に、準拠に向けた対策やコストなど、今後準拠が必要となる企業にとって参考となるような情報を掲載している。また、ヤフーなど、早くから準拠している企業については、準拠後の継続した取り組みについても紹介している。PCI DSSに準拠した多くの企業では、PCI DSSに準拠するのはもちろん、最も大切なのは、「セキュリティレベルを維持・向上」させることであると語っており、継続的な対策に力を入れている。

書籍の構成としては、「PCI DSSを取り巻く背景と関連プレイヤー」、国内で活動するVisa、MasterCard、JCB、American Expressの「国際ブランドの取り組み」、Version2.0に対応した「PCI DSSの12要件概観」、国内において普及に取り組む主要団体の取り組みを紹介した「関連プレイヤーの動向」、カード会員情報非保持やトークナイゼーションをはじめとした「カード会員情報を保護するセキュリティ最新動向」、加盟店、カード会社や情報処理センター、決済代行事業者などのサービスプロバイダの事例といったように、PCI DSSに関連した情報をさまざまな角度からまとめている。

本書の発行が国内におけるPCI DSSの普及の後押しにつながれば幸いである。
(株式会社TIプランニング 代表取締役 池谷貴)

《ScanNetSecurity》

関連記事

特集

PageTop

アクセスランキング

  1. 訃報:セキュリティの草分けロス・アンダーソン氏 死去 67 歳、何回分かの生涯に匹敵する業績

    訃報:セキュリティの草分けロス・アンダーソン氏 死去 67 歳、何回分かの生涯に匹敵する業績

  2. 社員のセキュリティ意欲高める施策とは? 罰則は逆効果 ~ プルーフポイント「2024 State of the Phish」日本語版公表

    社員のセキュリティ意欲高める施策とは? 罰則は逆効果 ~ プルーフポイント「2024 State of the Phish」日本語版公表

  3. LINEヤフー委託先への不正アクセス、報告書を受け 2 度目の行政指導

    LINEヤフー委託先への不正アクセス、報告書を受け 2 度目の行政指導

  4. Acompany で 4 件の Google フォーム誤設定、最大 164 名の個人情報が閲覧可能に

    Acompany で 4 件の Google フォーム誤設定、最大 164 名の個人情報が閲覧可能に

  5. セキュリティにおける効果は実感できるのか ~ SECURITY ACTION 宣言「得られた効果はない」最多

    セキュリティにおける効果は実感できるのか ~ SECURITY ACTION 宣言「得られた効果はない」最多

  6. NDIソリューションズの RAG サービスに不正アクセス、個人情報を格納するサービスへの痕跡は確認されず

    NDIソリューションズの RAG サービスに不正アクセス、個人情報を格納するサービスへの痕跡は確認されず

  7. スペシャリスト集結! マネーフォワード・ラック・富士ソフト・電通総研から学ぶ、脆弱性診断内製化の成功法則とは? AeyeScan 導入企業との公開対談

    スペシャリスト集結! マネーフォワード・ラック・富士ソフト・電通総研から学ぶ、脆弱性診断内製化の成功法則とは? AeyeScan 導入企業との公開対談PR

  8. 笛吹市商工会へのサポート詐欺被害、調査結果公表

    笛吹市商工会へのサポート詐欺被害、調査結果公表

  9. 「相鉄ポイント」引き継ぎで会員情報を取り違え、他の顧客の個人情報が閲覧可能に

    「相鉄ポイント」引き継ぎで会員情報を取り違え、他の顧客の個人情報が閲覧可能に

  10. 東芝テックが利用するクラウドサービスに不正アクセス、取引先や従業員の個人情報が閲覧された可能性

    東芝テックが利用するクラウドサービスに不正アクセス、取引先や従業員の個人情報が閲覧された可能性

ランキングをもっと見る
ホーム 調査・レポート・白書・ガイドライン ブックレビュー 記事
TOP