ビザ・インターナショナル
アジアパシフィック　リミティッド/リスクマネジメント/カントリーリスクダイレクター
井原　亮二様

【Profile】
クレジット業界に22年在籍後、2002年ビザ・インターナショナルに入社。以降、一貫して日本におけるリスクマネジメント部門の責任者としてカード犯罪/クレジットカード・デビッドカードなどにおけるセキュリティ問題などに取り組んでいる。

昨年、アジア太平洋地域の11カ国で行ったカード犯罪に対するアンケートを行いましたが、その結果を見ても情報流出による信用の損失、顧客や事業収入の減少が大きなリスクとして認知され、「いかにしてカード情報の保護」するかが、最大の懸念となっていることがわかります。

しかし、その一方で日本におけるPCIDSSの認知度と利用度について調べてみると認知度は70％、認知している中で利用しているのが43％となっており、「知られているわりに利用されていない」というのが現状といえます。

そのため、VISAではPCIDSSの普及活動の一環として、当社カード情報を保有するサービスプロバイダー、加盟店様に対してAIS（Account Information Security）という情報セキュリティプログラムをネット上にて公開、提供し、PCIDSS準拠をサポートしております（http: //ais.hackersafe.jp）。 AISでは年間取引件数に応じて、無料で行っていただける自己問診診断、脆弱性診断、そしてQSA等による訪問審査という３つのバリデーションを設けています。自己問診診断はPCIDSSの要件からなる75の質問にお答えいただくことで「要件が遵守されているか」、またされていないならばそれは何か、どのような対策を施すべきかをメールでお知らせします。 そのため、せっかくISMSを導入したにもかかわらず、「何をどこまでやればよいのかわからない」あるいは有効な対策を取ることができないという状況に陥っているといえます。

脆弱性診断については要件の11.2に従い、ご登録いただいたIPアドレスに対して年4回、スキャンテストを実施いたします。問題点が確認された場合にはメールにてご報告しますので、改善後に再度テストを受けていただくことになります。

両テストに合格されますと合格証を画面で提示するとともに、VISAサイト内でPCIDSSに準拠した信頼性の高い企業としてご紹介しております。

PCISSCの一員として、またカードベンダーとして、各種広報活動、業界レベルでのイベント開催、そして行政／各種団体との連携等といったPCIDSSの認知度向上への取り組みは、まだまだ進めていく必要があります。

さらにはより大きな課題である利用度の向上についても、引き続きAISの普及を進めていく一方、POSを利用される大手加盟店様に対してはPOS用のアプリケーションの開発段階からベンダーの方々と協力してPCIDSSに準拠したセキュリティを実装する、あるいは認定を与えることで安心してご利用いただける環境を整備していくことが必要と考えています。

こうした広報、普及活動は必要不可欠ではありますが、PCIDSSに準拠するためには、それ相応のコストが発生することが普及を妨げている最大の要因であると思われます。
これには、導入、オンサイトレビューやセキュリティ対策に関わるコスト改善努力を続けていく一方で、PCIDSSの準拠していることが企業評価に反映される等、目に見える形でメリットを提示していくことが求められています。

かつてカード業界においてオーソリ端末の導入に関して、その導入/通信コストが問題となるケースが多く見られましたが、今では常識としてとらえられています。
「PCIDSSに準拠することは企業として常識」が企業における新たな情報セキュリティ文化として定着させていくことが、私どもの責任であり、目標とするものであります。