改正割賦販売法に伴うカード業界セキュリティの動向(2) | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.08.24(木)

改正割賦販売法に伴うカード業界セキュリティの動向(2)

特集 特集

●国のセキュリティ基準策定への階層構造

 こうした国の基準は、法律〜政令・施行令〜省令・施行規則〜細則など、多くの階層からできているので、なかなか一般人には理解しにくいところだ。細かな規則をすべて法律の条文で定めてしまうと、情勢の変化に対応して改定しようと思っても、すべて国会での承認が必要になってしまうので、法令の範囲で政令や管轄省庁が定める省令によって、細かい部分に対応しようと、こうした階層になっている。ではこうしたルール階層の流れに沿って、現在の進行状況を見てみよう。


日本オフィス・システム株式会社 森 大吾 氏
コンサルティング推進室内部統制、セキュリティ、PCIDSS等を担当している。



●政令ではセキュリティの具体策に関与せず

 経済産業省では、「割賦販売施行令の一部を改正する政令案」に対するパブリックコメントを、2008年12月26日から1ヶ月間公募し、意見結果を2009年4月4日に公表した。この割賦販売施行令というのは政令で、カードセキュリティに関して具体的な基準そのものには関与していない。たとえば、「クレジットカード番号等の適切な管理措置のために必要な措置の実施状況、加盟店への指導状況等を報告徴収事項等として定めることとする」などといった具合だ。

政令案パブリックコメントの回答
http://search.e-gov.go.jp/servlet/Public?ANKEN_TYPE=3&CLASSNAME=Pcm1090&KID=595108101&OBJCD=&GROUP=

 パブリックコメントに対する経産省の回答を見ると、「カード情報の適切な管理措置の内容を、具体的に規定すべきではないか」との意見を提出した人がいたらしく、それに対して「具体的内容については、施行規則で規定するので、改めてパブリックコメントによる意見募集もした上で、決めていく予定」と回答していた。

●続いて施行規則案への意見公募

 その回答に沿う形で、経産省では次のステップとして2009年5月1日から5月30日まで、省令(割賦販売法施行規則)案に対するパブリックコメントを公募した。この施行規則案は、新旧対象文で185ページからなるボリュームがあり、確かに政令と比べれば具体的な施行規則案となっている。しかしクレジットカード情報の安全管理に関しては、おもに2つの条文があるのみで、まだまだ抽象的だ。

省令案へのパブリックコメント募集
http://search.e-gov.go.jp/servlet/Public?CLASSNAME=Pcm1010&BID=595109031&OBJCD=&GROUP=

 まず132条で、

1)カード情報を扱う従業者に対する規程類を整備して、カード番号などの情報管理を適切に行うこと。

2)従業者への教育訓練と監督を適切に行うこと。

3)不正アクセス防止のための措置を講ずること。

4)情報へのアクセスや操作のログを記録しておくこと。

5)漏えい事故が発生した場合の、不正利用防止措置を講ずること。

などとし、次の133条では、委託先を含めて漏えい事故が発生した場合の報告・連絡体制や、再発防止の措置を講ずること、などを定めている。つまり、具体的にどのようなレベルまで規程を整備すればよいのか、たとえばアクセスログの記録はどこまでのシステム範囲を対象として、保管期間はどの程度なのか、データの送信や保管における暗号化はどのような手法をとればよいのか、といった細かい部分については、すべて「適切な安全管理を講ずる」という言葉でまとめられてしまっている。

 ただしこれは経産省の施行規則が不充分ということではないだろう。改正割賦販売法そのものに始めから明記されているとおり…

※この原稿は2009年5月10日現在の情報をもとに執筆されています。

【執筆:森 大吾】
日本オフィス・システム株式会社  コンサルティング推進室
内部統制、セキュリティ、PCIDSS等を担当

日本オフィス・システム株式会社(東京都中央区日本橋箱崎町、代表取締役社長・水谷正裕)は、日本IBMと兼松の合弁によるソリューション・プロバイダーとして1982年創業。近年ではNTTコミュニケーションズも資本参加している。PCIDSS関連では、QSA(認定監査機関)・米国ControlCase社の日本窓口を担当するとともに、PCI認定スキャンツール・ControlCaseGRC(バルネラ・アセッサー)を取り扱っており、2009年4月に設立された「日本カード情報セキュリティ協議会(略称JCDSC)では、NTTデータセキュリティ株式会社とともに事務局を担当している。

【関連記事】
改正割賦販売法に伴うカード業界セキュリティの動向(1)
https://www.netsecurity.ne.jp/7_13290.html

【関連リンク】
日本オフィス・システム株式会社
http://www.nos.co.jp/
──
※ この記事は Scan購読会員向け記事をダイジェスト掲載しました
購読会員登録案内
http://www.ns-research.jp/cgi-bin/ct/p.cgi?m-sc_netsec

《ScanNetSecurity》

Scan PREMIUM 会員限定

もっと見る

Scan PREMIUM 会員限定特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

特集 カテゴリの人気記事 MONTHLY ランキング

  1. [セキュリティ ホットトピック] 起動領域を破壊し PC を完全にロックするランサムウェア「Petya亜種」

    [セキュリティ ホットトピック] 起動領域を破壊し PC を完全にロックするランサムウェア「Petya亜種」

  2. [セキュリティホットトピック] サイバー攻撃に対して備えるべき機能・組織・文書など、総務省が「防御モデル」として策定

    [セキュリティホットトピック] サイバー攻撃に対して備えるべき機能・組織・文書など、総務省が「防御モデル」として策定

  3. ISMS認証とは何か■第1回■

    ISMS認証とは何か■第1回■

  4. 工藤伸治のセキュリティ事件簿 シーズン6 「誤算」 第1回「プロローグ:七月十日 夕方 犯人」

  5. ここが変だよ日本のセキュリティ 第29回「大事な人。忘れちゃダメな人。忘れたくなかった人。誰、誰……君の名前は……セキュリティ人材!」

  6. クラウドセキュリティ認証「ISO 27017」「ISO 27018」の違いとは? ~クラウドのよさを活かす認証コンサル LRM 社 幸松 哲也 社長に聞く

  7. スマホが標的のフィッシング詐欺「スミッシング」とは、現状と対策(アンラボ)

  8. Man in the Browser と Man in the Middle 攻撃(CA Security Reminder)

  9. シンクライアントを本当にわかっていますか 〜意外に知られていないシンクライアントの真価

  10. 工藤伸治のセキュリティ事件簿シーズン6 誤算 第4回「不在証明」

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×