改正割賦販売法に伴うカード業界セキュリティの動向(2) | ScanNetSecurity
2024.03.30(土)

改正割賦販売法に伴うカード業界セキュリティの動向(2)

●国のセキュリティ基準策定への階層構造

特集 特集
●国のセキュリティ基準策定への階層構造

 こうした国の基準は、法律〜政令・施行令〜省令・施行規則〜細則など、多くの階層からできているので、なかなか一般人には理解しにくいところだ。細かな規則をすべて法律の条文で定めてしまうと、情勢の変化に対応して改定しようと思っても、すべて国会での承認が必要になってしまうので、法令の範囲で政令や管轄省庁が定める省令によって、細かい部分に対応しようと、こうした階層になっている。ではこうしたルール階層の流れに沿って、現在の進行状況を見てみよう。


日本オフィス・システム株式会社 森 大吾 氏
コンサルティング推進室内部統制、セキュリティ、PCIDSS等を担当している。



●政令ではセキュリティの具体策に関与せず

 経済産業省では、「割賦販売施行令の一部を改正する政令案」に対するパブリックコメントを、2008年12月26日から1ヶ月間公募し、意見結果を2009年4月4日に公表した。この割賦販売施行令というのは政令で、カードセキュリティに関して具体的な基準そのものには関与していない。たとえば、「クレジットカード番号等の適切な管理措置のために必要な措置の実施状況、加盟店への指導状況等を報告徴収事項等として定めることとする」などといった具合だ。

政令案パブリックコメントの回答
http://search.e-gov.go.jp/servlet/Public?ANKEN_TYPE=3&CLASSNAME=Pcm1090&KID=595108101&OBJCD=&GROUP=

 パブリックコメントに対する経産省の回答を見ると、「カード情報の適切な管理措置の内容を、具体的に規定すべきではないか」との意見を提出した人がいたらしく、それに対して「具体的内容については、施行規則で規定するので、改めてパブリックコメントによる意見募集もした上で、決めていく予定」と回答していた。

●続いて施行規則案への意見公募

 その回答に沿う形で、経産省では次のステップとして2009年5月1日から5月30日まで、省令(割賦販売法施行規則)案に対するパブリックコメントを公募した。この施行規則案は、新旧対象文で185ページからなるボリュームがあり、確かに政令と比べれば具体的な施行規則案となっている。しかしクレジットカード情報の安全管理に関しては、おもに2つの条文があるのみで、まだまだ抽象的だ。

省令案へのパブリックコメント募集
http://search.e-gov.go.jp/servlet/Public?CLASSNAME=Pcm1010&BID=595109031&OBJCD=&GROUP=

 まず132条で、

1)カード情報を扱う従業者に対する規程類を整備して、カード番号などの情報管理を適切に行うこと。

2)従業者への教育訓練と監督を適切に行うこと。

3)不正アクセス防止のための措置を講ずること。

4)情報へのアクセスや操作のログを記録しておくこと。

5)漏えい事故が発生した場合の、不正利用防止措置を講ずること。

などとし、次の133条では、委託先を含めて漏えい事故が発生した場合の報告・連絡体制や、再発防止の措置を講ずること、などを定めている。つまり、具体的にどのようなレベルまで規程を整備すればよいのか、たとえばアクセスログの記録はどこまでのシステム範囲を対象として、保管期間はどの程度なのか、データの送信や保管における暗号化はどのような手法をとればよいのか、といった細かい部分については、すべて「適切な安全管理を講ずる」という言葉でまとめられてしまっている。

 ただしこれは経産省の施行規則が不充分ということではないだろう。改正割賦販売法そのものに始めから明記されているとおり…

※この原稿は2009年5月10日現在の情報をもとに執筆されています。

【執筆:森 大吾】
日本オフィス・システム株式会社  コンサルティング推進室
内部統制、セキュリティ、PCIDSS等を担当

日本オフィス・システム株式会社(東京都中央区日本橋箱崎町、代表取締役社長・水谷正裕)は、日本IBMと兼松の合弁によるソリューション・プロバイダーとして1982年創業。近年ではNTTコミュニケーションズも資本参加している。PCIDSS関連では、QSA(認定監査機関)・米国ControlCase社の日本窓口を担当するとともに、PCI認定スキャンツール・ControlCaseGRC(バルネラ・アセッサー)を取り扱っており、2009年4月に設立された「日本カード情報セキュリティ協議会(略称JCDSC)では、NTTデータセキュリティ株式会社とともに事務局を担当している。

【関連記事】
改正割賦販売法に伴うカード業界セキュリティの動向(1)
https://www.netsecurity.ne.jp/7_13290.html

【関連リンク】
日本オフィス・システム株式会社
http://www.nos.co.jp/
──
※ この記事は Scan購読会員向け記事をダイジェスト掲載しました
購読会員登録案内
http://www.ns-research.jp/cgi-bin/ct/p.cgi?m-sc_netsec

《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)

×