その細則を策定していく「認定割賦販売協会」として、事実上予定されているのが、社団法人日本クレジット協会。これは、1.社団法人日本クレジット産業協会、2.社団法人全国信販協会、3.認定個人情報保護団体クレジット個人情報保護推進協議会の3団体が合併するものだ。ただし2009年の4月から3団体とも足並みがそろえばよかったのだが、4月1日の段階ではまずクレジット産業協会のみが新団体へ移行し、あとの2団体は7月1日から合流して、クレジット業界の統一団体となると発表されている。
社団法人日本クレジット協会
http://www.j-credit.or.jp/
 | 日本オフィス・システム株式会社 森 大吾 氏 コンサルティング推進室内部統制、セキュリティ、PCIDSS等を担当している。 |
●細則とPCIDSSをどう調整するか
いずれにしてもこの新しい社団法人が、改正割賦販売法に定められた「認定割賦販売協会」との指定を受けて、施行規則に基づいた細則を策定していくことになる。その細則で、クレジットカード情報の安全管理について、具体的なルールを決めていかなくてはならない。ここで、すでにカード情報のセキュリティ基準として国際レベルで普及しているPCIDSSと、どのように調整するのか、という点が非常に注目されているわけだ。
PCIDSSは、すでに米国では、訪問監査が必須とされる大手企業の準拠率が9割を超えてきているといわれる。WEBサイトの安全性を四半期ごとのスキャンで検査しなければならない、中小規模のネットショップ開設企業も、PCIDSSの認証を取得していないと一般消費者から信用を得られない段階に移ってきている。このように世界規模で先行しているPCIDSSの流れの中で、クレジットカード決済額が世界第2位である日本が、日本独自のセキュリティ基準でやりますと宣言することは、かなり難しいのではないかと思われる。
●J-SOXは日本流でもよかったが
ここで思い起こされるのは日本版SOX法(J-SOX)だ。むしろ「本家」の米国SOX法では、要求が厳しくて企業の負担が大きすぎた実状を踏まえ、日本の金融庁は日本流の実施基準を策定した。これはこれで企業の納得感も得て、成功している面はある。ところがクレジットカード取引の場合はSOX法と違い、VISAやMasterCardという国際カードブランドが世界中に流通していて、日本も同じ輪の中にあるということだ。日本国内にも非常に多くのクレジットカードが流通しているが、結局ほとんどのカードにVISAやJCBのブランドがついていて、それで決済が成り立っているのだ。
日本人がVISAカードを米国で使用することもあるし、米国人が日本国内でショッピングをして、MasterCardで支払うこともある。そうしたカードブランドが結束して、加盟店や決済代行プロバイダーに対してPCIDSSという共通基準による安全管理を求めているのに、日本国内ではPCIDSSでなく割販法のセキュリティ基準があります、と言って果たして通るのか、という大きな問題がどうしても出てくるだろう。
さらに、インターネットには国境がない。ネットショップの開設事業者が日本企業でも米国企業でも、VISAやMasterCardなどのクレジットカードで決済することができる。こうした世界標準の取引がある以上、国際カードブランドが共同で定めて、すでに運用されているPCIDSSの向こうを張って、日本だけ独自のカードセキュリティ基準を作っても、現実に機能しないのではないかと思われる。
2008年7月に行われた洞爺湖サミットで、先進G8の宣言の中に「世界経済をめぐる諸問題は、相互に関連していることに留意する」という一節が設けられた。直接には、当時高騰を続けていた穀物や原油問題を念頭に置いたメッセージではあるが、クレジットカードのセキュリティルールについても、世界共通の流れに充分留意していかざるを得ないだろう。
●いきなり全事業者にPCIDSS必須では混乱も
ただし、PCIDSSにも問題点がないわけではない。要求事項がかなり高いレベルで、細かく具体的に指示してあるだけに、この基準に準拠しようとすると、
合格レベルに必要なセキュリティコストが相当に高く、特に中小事業者にとっては大きな負担になりかねないという懸念がある。逆に言えば、現状はそれだけ脆弱性の大きな環境で、顧客のクレジットカード情報を取り扱っている、危険な状態の事業者が多いということでもあるのだが、ともかく大きな負担になるだろうということが、予想されている。
こうした懸念にも答えたのか、経産省の諮問機関として施行規則案を策定してきた、消費経済審議会・割賦販売部会では、2008年12月11日に公表した「改正割賦販売法施行規則の骨子」の中で、「省令の策定に当たっては、消費者保護を図ることと、健全な事業活動に対する過剰規制とならないことを両立させることに、最大限配慮しているところである」と述べている。
●J-SOXの過剰規制先行ムードを回避したい意図も
日本版SOX法である金融商品取引法は2006年6月に設立したが、具体的な実施基準がまだ公表されていない間に、「日本にも米国SOX法並みの内部統制が要求される!」との話が、ITベンダーやコンサルティング会社から先行して広まり、「米国SOX法対応済みソリューション」といったITセミナーが花盛りとなってしまった。後手に回った金融庁が「過剰なIT投資は必要ありません」とのQ&Aを作成したり、監査法人からの過剰指導に対する相談室を開設したりするなど、火消しに取り組むこととなったのは、まだ記憶に新しい。
割販法施行規則の省令についても、こうしたJ-SOXの一幕を踏まえて、審議会が「過剰規制とならないことも考慮して」との一節を入れたのかも知れない。ともあれ、実際に細則を担当する日本クレジット協会の作業としては…
※この原稿は2009年5月10日現在の情報をもとに執筆されています。
【執筆:森 大吾】
日本オフィス・システム株式会社 コンサルティング推進室
内部統制、セキュリティ、PCIDSS等を担当
日本オフィス・システム株式会社(東京都中央区日本橋箱崎町、代表取締役社長・水谷正裕)は、日本IBMと兼松の合弁によるソリューション・プロバイダーとして1982年創業。近年ではNTTコミュニケーションズも資本参加している。PCIDSS関連では、QSA(認定監査機関)・米国ControlCase社の日本窓口を担当するとともに、PCI認定スキャンツール・ControlCaseGRC(バルネラ・アセッサー)を取り扱っており、2009年4月に設立された「日本カード情報セキュリティ協議会(略称JCDSC)では、NTTデータセキュリティ株式会社とともに事務局を担当している。
【関連記事】
改正割賦販売法に伴うカード業界セキュリティの動向(1)
https://www.netsecurity.ne.jp/7_13290.html
改正割賦販売法に伴うカード業界セキュリティの動向(2)
https://www.netsecurity.ne.jp/7_13325.html
【関連リンク】
日本オフィス・システム株式会社
http://www.nos.co.jp/
──
※ この記事は Scan購読会員向け記事をダイジェスト掲載しました
購読会員登録案内
http://www.ns-research.jp/cgi-bin/ct/p.cgi?m-sc_netsec
![人気連載 Scan PREMIUM Monthly Executive Summary の岩{丼}先生の著作にサインいただきました [Scan PREMIUM 創刊25周年記念キャンペーン 読者特典] 画像](/imgs/std_m/43329.jpg)
