決済カードの国際ブランドVisaは2008年11月、決済カードのセキュリティ基準「PCI DSS」遵守の国際的な義務化に向け、遵守期限を発表した。同時に、サービスプロバイダ、加盟店、プロセッサのそれぞれに対するバリデーション(遵守状況確認)の国際的な要件も設定された。現在の日本国内でのPCI DSSへの対応状況、そして期限設定の狙い、Visaの取り組みについて、ビザ・ワールドワイド・ジャパン株式会社のカントリー リスク ダイレクター 井原 亮二氏(写真)に話を聞く。(取材2009年2月10日、文中個人法人敬称略)
Visa
http://www.visa-asia.com/ap/jp/index.shtml
● サービスプロバイダのPCI DSS準拠状況
--国内でのPCI DSS対応状況はどうですか?
サービスプロバイダや大手の加盟店の場合は、認定審査機関の専門家によるオンサイトレビューで客観的な評価を受け、完全遵守しているかどうかを確認します。このような場合、いくつの企業がPCI DSS遵守を完了しているかを把握できます。
しかし、中小規模の加盟店ではプログラム上そこまで求められておらず、SAQ(PCISSCが作成した自己診断票)を利用して加盟店ご自身が遵守しているかどうかを診断します。このケースでは、遵守していてもVisaに報告する義務はありませんので、Visaでは実態を把握できません。そして、そのような加盟店の方が圧倒的に多い。
このような前提で、遵守状況を申し上げると、クレジットカードのサービスプロバイダに関しては大手から遵守が進んでおり、Visaでは現在35社がPCI DSS遵守を完了していると把握しています。
また、カード会社と直接契約をせずに、バックヤードでカード決済処理を行うプロセッシング会社を利用している場合、Visaからは見えません。このようなケースでは、わかった時点でPCI DSS遵守をお願いしていますが、まだまだ認知されていないところもあります。
まずはPCI DSS遵守を「やらなければならない」ということに気づいて欲しいと考えており、ISP協会などを通じて告知するなど複数のチャネルで啓発活動も行っています。
認知度は上がっており、システムのコンサルティング会社やセキュリティベンダも意識が高く、草の根的にPCI DSSを案内していただいています。このため現在は検討中という企業が多いのかもしれません。サービスプロバイダの現状は、以上のように把握しています。
● 加盟店のPCI DSS準拠状況
--加盟店での遵守状況はどうですか?
加盟店は取引件数のボリュームによって4つのレベルに分けられ、それぞれにバリデーション要件を設定しています。
Visaカードの取引件数が年間600万件を超えるレベル1の加盟店では、QSA(認定審査機関)作成の年次遵守報告書の提出や認定スキャニングベンダ(ASV)による四半期ごとの脆弱性スキャン、遵守証明書提出等があります。
レベル1の加盟店には、Yahoo! JAPANや楽天、JH(旧道路公団)、JR東日本など業界を代表する企業9社があり、このうち7社がすでに完全遵守しています。残りの2社につきましてもタイムフレームをご提示してあり、現在対応検討いただいています。ただし、この9社というのは、Visaが把握できているものだけです。
レベル2の加盟店は、QSAによる年次自己診断、ASVによる四半期ごとの脆弱性スキャン、遵守証明書提出がバリデーション要件です。ただ、企業数についてはまだ把握できておらず、現在他のカード会社にご協力いただきながらリストアップしている状況です。これは、日本の場合は提携カードでの決済がVisaを通らず、カード会社内で完結するシステムがあるためで、カード会社と話し合いながら数を把握していかなければなりません。
レベル3の加盟店は、Visaカードのeコマース取引件数が年間2万件以上、100万件以下ということですが、ネット上でカード取引している店舗は非常に多い印象があります。ただ、このようなオンラインショップの場合は、大手のサービスプロバイダのホスティングサービスを利用しており、カード決済システムも合わせて利用しています。
レベル4の加盟店は、ひとつのサービスプロバイダに数千、数万といったオンラインショップがぶら下がっているようなケースがあり、遵守状況の把握は困難です。カード会社はプロバイダと包括加盟店契約を結んでおり、そこのサービスを利用しているショップと直接契約しているわけではないためです。
● ISMSとの同時審査でコスト削減
--導入が進まない理由は何ですか? また、どんな対策を考えていますか?
サイボウズ・メディアアンドテクノロジーとNTTデータ・セキュリティが共同で2008年に実施した調査結果を見ると、PCI DSS遵守の一番大きな壁は費用であるという結果が出ています。
サイボウズMTとNTTデータ・セキュリティ、ECサイトの
セキュリティ対策状況とクレジットカードセキュリティ基準の認知度調査実施
https://www.netsecurity.ne.jp/pcidss/library_press0811.html
そこでその対策として、2つの施策を行っています。ひとつは、バリデーションの際の自己診断とスキャニングを無償で提供しています。これらは実質的なコストをかけずに実施していただけます。
もうひとつはオンサイトレビューで、これはQSAが審査を行うため実費がかかります。そこでVisaでは、PCI SSCやJIPDEC(日本情報処理開発協会)との連携の中で、ISMS認定審査機関の数社がPCI DSSの審査を同時に行えるようにしました。
ISMSは、すでに日本の3千以上の企業が認定取得していますが、ISMSの要件では年次のオンサイトレビューが義務づけられています。ISMSはISO 27001がベースになっていますが、PCI DSSも情報セキュリティに関する基準ですので、要件が重なっている部分が多くあります。
ISMSの年次オンサイトレビューにかかる費用は、企業の予算にあらかじめ組み込まれていますので、PCI DSSの審査を同時に受けることができれば経済的、効率的になります。このシステムによってコストを最小化した事業者が、すでに数社おられます。
また現在、日本国内でPCI DSSオンサイトレビューを提供できるQSAは8社ありますが、そのうちBSIマネジメントシステム ジャパン、ヒル・アンド・アソシエイツ・ジャパン、国際マネジメントシステム認証機構、TUV Rhein Land Japanの4社がISMSとPCI DSSを同時審査できるQSAとなっています。
● オンサイトレビュー料金にも競争原理
さらにコストの面では、認定審査機関が8社に増えたことで競争原理が働き、価格が下がってきています。2年前にとった見積と現在の見積を比較すれば明白でしょう。
PCI DSSを取り巻く新しい動きとして、業界団体の設立も挙げられます。2009年1月には、QSAが中心となって協議会が設立されていますし、PO(PCISSC Participating Organizations)も設立されました。Visaでは、これらの業界団体にも支援を行っています。(後編につづく)
(取材・文:吉澤亨史)
