自著を語る「PCI DSSのすべて」池谷貴(ブックレビュー) | ScanNetSecurity
2021.10.27(水)

自著を語る「PCI DSSのすべて」池谷貴(ブックレビュー)

国内および海外で情報漏洩事件が起きるたびに、当該企業がクレジットカード等の国際セキュリティ基準である「PCI DSS(Payment Card Industry Data Security Standard)」に準拠していたかどうかが話題となる。

調査・レポート・白書 ブックレビュー
国内および海外で情報漏洩事件が起きるたびに、当該企業がクレジットカード等の国際セキュリティ基準である「PCI DSS(Payment Card Industry Data Security Standard)」に準拠していたかどうかが話題となる。

PCI DSSは、Visa、MasterCard、JCB、American Express、Discoverの国際カードブランド5社が定めた、ペイメントカード業界のセキュリティ基準だ。国際カードブランドが付与されたカード情報を「処理、伝送、保存」するすべての加盟店、サービスプロバイダが遵守する最低限のルールが定められている。

PCI DSSの準拠で先行する米国では、年間600万件以上の取引があるビザ・ワールドワイド(Visa)のレベル1加盟店で97%の準拠率がある。また、全世界の平均をみても約80%が遵守しているそうだ。しかし、国内においては、米国型のインセンティブを伴う法改正は難しいなどの課題があり、海外の平均からみても加盟店の準拠率は低いと言えるだろう。

2012年までの国内のPCI DSS の準拠企業は、約70社(システム)程度だといわれている。また、そのうち約9割が、決済代行事業者、情報処理センター、カード会社といったサービスプロバイダの準拠となっており、加盟店の準拠は一部のショッピングモールやインターネット・サービス・プロバイダ、保険会社などに留まっている。

楽天の「楽天市場」、ヤフーの「Yahoo!ウォレット」のインターネットショッピングモールは、早い段階から準拠を果たしている。PCI DSSへの対応は、一般的に膨大なコストがかかると言われているが、両社では準拠前から強固なセキュリティ対策を実施しており、他の加盟店に比べコストをかけずに対応を果たしている。NECビッグローブ、ニフティ、メットライフアリコといった企業は、システム規模が大きく、またカード会員情報をセグメントする作業を行ったため、準拠に向けてはそれなりのコストを有した。

また、リアルの大型店舗が準拠するためには、POSの入れ替えなど、膨大なコストが発生するため、準拠のハードルがさらに高くなっている。

従来、国内におけるPCI DSSの推進は、Visaを中心に、各ブランドが個別にアクワイアラを通して加盟店に要請するケースが一般的だったが、2009年以降は、クレジット関係団体、協議会などを中心に、業界挙げての取り組みが活発化している。また、国際ブランドやアクワイアラ(加盟店開拓企業)を中心に「タスクフォースプログラム」を結成し、加盟店に推進する取り組みも行われた。カード会社によっては独自に加盟店に訪問し、PCI DSSの準拠を勧める動きも出てきている。最近では、業界団体が、加盟店などに対し準拠期限を設けて、推進を行っている。

国際ブランドやカード会社によると、大手を中心に加盟店のPCI DSSに対する認知は広がり、取り組む姿勢も前向きになっているそうだ。また、国内の情報漏洩事件の多くは中小零細企業から発生しているため、インターネット決済代行事業者などでは、カード情報を保管しない「非保持化」を行うことで、リスクを回避する方法を中小加盟店に提案している。

PCI DSS普及に向けた最大の課題は、準拠および維持コストの低減であると言われているが、準拠企業によると「国内で展開するQSAが増えたことにより、監査コストは当初より格段に下がっている」という声もある。また、一般財団法人日本情報経済社会推進協会が運営する「ISMS(情報セキュリティマネジメントシステム)」とPCI DSSのブリッジ審査を行うことで、監査の負荷およびコストを軽減することに成功した企業も増えてきた。最近では、カード情報に置き換わる別のID番号(乱数)で情報処理を進める「Tokenization(トークナイゼーション)」方策など、PCI DSSの対象範囲を狭め、情報漏えいのリスクを軽減する手法もクローズアップされている。

今春、株式会社TIプランニングは、ペイメントカード情報を保持する企業のカードセキュリティ強化に向け、書籍「PCI DSSのすべて」を発行した。

PCI DSSのすべて
http://www.paymentnavi.com/book/22183.html

本書では、実際にPCI DSSに準拠した大手加盟店やサービスプロバイダなどの事例を中心に、準拠に向けた対策やコストなど、今後準拠が必要となる企業にとって参考となるような情報を掲載している。また、ヤフーなど、早くから準拠している企業については、準拠後の継続した取り組みについても紹介している。PCI DSSに準拠した多くの企業では、PCI DSSに準拠するのはもちろん、最も大切なのは、「セキュリティレベルを維持・向上」させることであると語っており、継続的な対策に力を入れている。

書籍の構成としては、「PCI DSSを取り巻く背景と関連プレイヤー」、国内で活動するVisa、MasterCard、JCB、American Expressの「国際ブランドの取り組み」、Version2.0に対応した「PCI DSSの12要件概観」、国内において普及に取り組む主要団体の取り組みを紹介した「関連プレイヤーの動向」、カード会員情報非保持やトークナイゼーションをはじめとした「カード会員情報を保護するセキュリティ最新動向」、加盟店、カード会社や情報処理センター、決済代行事業者などのサービスプロバイダの事例といったように、PCI DSSに関連した情報をさまざまな角度からまとめている。

本書の発行が国内におけるPCI DSSの普及の後押しにつながれば幸いである。

(株式会社TIプランニング 代表取締役 池谷貴)

《ScanNetSecurity》

関連記事

PageTop

特集

アクセスランキング

  1. 埼玉大学の学内サーバへ不正アクセス、PCの脆弱なパスワードが原因に

    埼玉大学の学内サーバへ不正アクセス、PCの脆弱なパスワードが原因に

  2. 三菱電機管理のネットワークに海外から不正アクセス、顧客に関する情報の一部が流出

    三菱電機管理のネットワークに海外から不正アクセス、顧客に関する情報の一部が流出

  3. 群馬大学のメールサーバが踏み台に、約57万件の迷惑メールを送信

    群馬大学のメールサーバが踏み台に、約57万件の迷惑メールを送信

  4. PPAPの運用失敗、パスワード通知メールに名簿を添付したまま送信

    PPAPの運用失敗、パスワード通知メールに名簿を添付したまま送信

  5. 若手社員の半数以上「情報漏えいより締め切りが大切」IT部門との確執浮き彫り

    若手社員の半数以上「情報漏えいより締め切りが大切」IT部門との確執浮き彫り

  6. 東京2020で約4.5億回のセキュリティイベントに対処した“NTTの貢献”

    東京2020で約4.5億回のセキュリティイベントに対処した“NTTの貢献”

  7. 廃棄文書をトラックで運搬中に段ボール箱6箱が落下、遺失物として連絡あり発覚

    廃棄文書をトラックで運搬中に段ボール箱6箱が落下、遺失物として連絡あり発覚

  8. 徳島県国民健康保険団体連合会が専用回線で誤送信、再送信処理でのシステム仕様に問題

    徳島県国民健康保険団体連合会が専用回線で誤送信、再送信処理でのシステム仕様に問題

  9. GhostScript において任意のコードが実行可能となるディレクトリへのアクセス制御不備の脆弱性(Scan Tech Report)

    GhostScript において任意のコードが実行可能となるディレクトリへのアクセス制御不備の脆弱性(Scan Tech Report)

  10. proofpoint Blog 第6回「そのサンドボックス運用にはご注意を! BCCモードのサンドボックス解析による大きなリスク」

    proofpoint Blog 第6回「そのサンドボックス運用にはご注意を! BCCモードのサンドボックス解析による大きなリスク」

ランキングをもっと見る