決済カードの国際ブランドVisaは2008年11月、決済カードのセキュリティ基準「PCI DSS」遵守の国際的な義務化に向け、遵守期限を発表した。同時に、サービスプロバイダ、加盟店、プロセッサのそれぞれに対するバリデーション(遵守状況確認)の国際的な要件も設定された。現在の日本国内でのPCI DSSへの対応状況、そして期限設定の狙い、Visaの取り組みについて、ビザ・ワールドワイド・ジャパン株式会社のカントリー リスク ダイレクター 井原 亮二氏(写真)に話を聞く。(取材2009年2月10日、文中個人法人敬称略)
Visa
http://www.visa-asia.com/ap/jp/index.shtml
● レベル1,2の加盟店向け保管禁止データ廃棄期限
--昨年11月に発表した、PCI DSSの遵守期限の概要を教えて下さい
PCI データセキュリティ基準(PCI DSS)遵守に期限を設定
http://www.visa-asia.com/ap/jp/mediacenter/pressrelease/NR_JP_131108.shtml
PCI DSSでは、サービスプロバイダを2つのレベルに、加盟店を4つのレベルに分類しています。このうち、Visaカードの取引件数が年間600万件を超える「レベル1」、および同取引件数が年間100万件を超える「レベル2」に該当する加盟店においては、2009年9月30日までにPCIDSS要件で禁止されているセンシティブデータの保管を中止し、保管していないことを書面によって報告することが義務づけられます。
センシティブデータというのは、カードを読み取り端末にスワイプした際に読み込まれる磁気情報、これは全磁気ストライプデータまたはトラックデータとも呼ばれます。また「CVV2」と呼ばれる認証情報、「PINブロック」と呼ばれる暗証番号情報を指します。これらのデータは、取引認証後に速やかに廃棄するよう要件によって規定されています。
この要件はPCI DSSで最も重要な部分です。なぜかというと、これらの情報は常に犯罪者に狙われており、情報が流出してしまうとカードの偽造犯罪につながるためです。本来、保管すべき情報ではないということですね。
遵守期限を経過しても、まだPCI DSSに準拠できていない場合は、Visaは罰金などを含む必要なリスクコントロール施策を実施します。
● レベル1加盟店の遵守証明書提出期限
タイムラインではまた、レベル1の加盟店は2010年9月30日までにPCI DSSへの完全遵守を果たすことを規定しています。具体的には、レベル1の加盟店はQSA(認定セキュリティ評価ベンダ)によるオンサイトレビューを受けることが要件となっており、オンサイトレビューで特定された問題点に対応し、完全遵守を果たします。以上の結果をVisaに提出しますが、その期限が2010年9月30日までということになります。これらのタイムラインは日本だけでなく、全世界共通のものとなります。
● PCI DSSは策定から4年が経過
--タイムラインを規定した背景は何ですか?
背景のひとつに、インターネット犯罪が 増加していることが挙げられます。PCI DSSは2004年12月に始まり、丸4年が経過しました。現在は米国を中心に普及していますが、対応が遅れている国もあり、マーケットによって格差が広がりつつあります。
Visaでは、カード事業を、社会の国際化に貢献するビジネスであると考えており、カードの情報セキュリティは、国際間の相互依存で成り立っています。このため、ひとつの国だけが頑張って情報セキュリティを高めても、別の国で情報流出事故が発生してしまうと、その被害は世界中に拡散してしまいます。PCI DSSが国際的に普及することで、どの国でも安心してカードを使うことができます。
もちろん日本も例外ではなく、海外から日本に来訪した方達にも安心してクレジットカードを使っていただける環境を維持していく必要があります。このような背景から、ひとつの国だけでなく世界中が同じ目的に向かっていくことが重要であるとして、世界共通のタイムラインを設定したのです。
タイムラインの期限が適切であるのかは、さまざまな議論を重ねて参りました。対応までに必要な期間というのは業種によって異なるでしょうし、個社によってもコストの問題などで違ってくるでしょう。いろいろな意見を聞いた上で、取引のボリュームや業種などから重点的に推進しなければならない事業者には早期に対応して欲しいということもあり、今回の期限を設定しました。
● リスクの高い業種と、事業形態
--どんな加盟店がPCI DSSを重視すべきですか?
重点的に推進しなければならない事業者は、まず、過去の流出事故の事例から見ても、インターネット犯罪が複雑化している今、オンライン加盟店の情報保護は留意したほうが良いといえるでしょう。
また、無人になる加盟店、カード情報を目に付きやすい場所に保管している加盟店は情報を盗まれる可能性が高いといえるでしょう。
さらに、流通業やガソリンスタンド、ホテルなどの、大量のカード情報を持っている業種もリスクが高いといえます。過去にはPOSが盗まれたり、リモートからPOSにアクセスして情報を盗まれるという事件も発生しています。
まずは個々の加盟店がネットワークやシステムの状況を把握して、どのくらいのリスクがあるのかを判断し、それに合わせた対応をすることが必要でしょう。
● 必要なリスクコントロール施策としての罰金
--今後は、守らないと罰金が科されるようになるのですか?
タイムラインには、罰金を科しますという記述はありますが、具体的な金額は決めていません。加盟店が期限内に対応できなかった場合には、Visaがリスクコントロール策を提示することになっており、その策のひとつとして罰金を設定しているということで、すべてのケースで罰金が発生するわけではないので誤解いただかないようお願いしたいと思います。
期限内に対応するには、負荷やコスト、時間などいろいろな問題があると思いますが、対応できていないという現実には大きなリスクが伴います。その結果、情報漏えいが発生してしまったら、世界中のカード会社や加盟店、エンドユーザに迷惑がかかります。
これでは、世界共通で足並みをそろえている意味がありません。このようなリスクを避けるために策を提示するということで、罰金を取ることが目的ではないのです。
● 今後のPCI DSS普及課題
--今後の取り組みについて教えて下さい
タイムラインを設定している以上、レベル1および2の加盟店にはきちんとしたフォローアップが必要であると考えています。たとえば、加盟店の情報セキュリティ担当者に対してPCIDSS要件の内容やポイントを理解、認識していただき、自発的に取り組んでもらえるような活動を、草の根的なものではありますが続けていきたいと思っています。
またレベル3の加盟店については、Visaが無償のスキャニングサービスを実施しているということがまだ認知されていませんので、カード会社やサービスプロバイダーとの連携によって認知を広げていく活動を開始しています。昨年は多くのWebサイトがSQLインジェクションによる被害を受けましたが、セキュリテイの脆弱な加盟店のWebサイトはSQLインジェクションを受けやすいことを、まず加盟店ご自身が認知して欲しいと思います。
PCI に関する資料および関連リンク(ビザ・ワールドワイド・ジャパン)
http://www.visa-asia.com/ap/jp/merchants/riskmgmt/ais_downloads.shtml
● 加盟店はデータを持たず、準拠したサービスプロバイダを利用
Visaでは、サービスプロバイダはあまねくPCI DSSに完全準拠していただき、加盟店にはカード情報の保管をPCI DSSに準拠したプロバイダに任せべきと考えております。カード決済に関連する業務はるということですね。
ただ、マーケティングなどの都合で、どうしても加盟店でカード情報を保管をしたいというケースもあります。この場合にはVisaの無償スキャニングサービスを必ず利用して安全性をチェックするよう、プロバイダを通してお願いしています。
● JIPDEC、国際4ブランドと共同で啓発キャンペーン
2009年に入って、PCI DSSへの関心の高まりを特に感じています。そこでVisaでも理解促進のためにいろいろな施策を考えています。たとえば、JIPDEC(日本情報処理開発協会)と国際4ブランドが共同で、加盟店向けの小冊子を4月末を目処に作成し、配布する予定です。
また、サイボウズ・メディアアンドテクノロジーとNTTデータ・セキュリティが共同で2008年に実施したような、PCI DSSに関するアンケート調査は定期的に行い、認知状況や問題点を知ることも重要であると考えています。
サイボウズMTとNTTデータ・セキュリティ、ECサイトの
セキュリティ対策状況とクレジットカードセキュリティ基準の認知度調査実施
https://www.netsecurity.ne.jp/pcidss/library_press0811.html
● SBIベリトランスがレジストリ・プログラムに参加
最後に最近のトピックスとして、SBIベリトランスがPCI DSSに遵守していることをVisaに直接報告し、これが受理されレジストリ・オブ・サービス・プロバイダ・プログラムに登録されました。
これは、Visaは直接サービスプロバイダとダイレクト・リレーションシップを作っていこうということを始めていまして、SBIベリトランスが日本の第一号になったというものです。Visaに登録していただき、そのサービスプロバイダのリストを公開していく取り組みで、リストに公開されたサービスプロバイダを加盟店奨めていきます。サービスプロバイダにはぜひ参加していただきたいと思います。
--ありがとうございました。
(取材・文:吉澤亨史)
