インターネットサービス拡大の影響もあり、クレジットカードの利用が拡大しています。一方で、クレジットカードの不正使用や偽造、フィッシング詐欺等のクレジットカード利用者に対する脅威も増加しています。そこで、クレジットカード業界では、2004年にクレジットカードデータを処理する上で確保されるべきセキュリティ要件に関する業界統一基準として「PCIDSS」を発行しました。「PCIDSS」は、クレジットカードデータを扱う企業に限らず一般企業にも適用できる客観的なセキュリティ基準としても注目されます。
ネットワンシステムズ株式会社では、日本で独自の「PCIDSS」関連サービスを展開しています。今回、セキュリティ事業推進本部の山崎文明本部長に、「PCIDSS」が策定された背景とその本質について語って頂きました。

NetOne PCIDSS講座
－ ISMSを補完する具体的セキュリティ対策基準 －
Vol.1「PCIDSSとその本質」

ネットワンシステムズ株式会社
セキュリティ事業推進本部
本部長
山崎 文明

「PCIDSS」はなぜ必要とされたのか？

「PCIDSS」というのは、Payment Card Industry Data Security Standard（PCIデータセキュリティ基準）の略で、言葉はお聞きになったこともあるかと思います。 一般には、クレジットカード会社がクレジットカードの不正利用を防止するために用意した、セキュリティ実装レベルにおける要求規格と解釈されています。身近な例では、クレジットカードの利用者に毎月送付される利用明細書のカード番号欄に印字されるカード番号の一部がXXXXのように伏せ字で表示されているのもPCIDSSの要求事項に対応した結果です。この規格が登場した背景には、クレジットカード会社に限らず一般企業にも当てはまるリスクマネジメントに対する重要な考え方があります。

一昨年前に、米国決済データ処理サービス会社「カードシステムズ・ソリューション」社で4,000万件を越える大量のクレジットカード番号が漏洩する事件が起こりました。あの事件を契機に「PCIDSS」が規格化されたと理解されている方が多いようですが、実際には、この規格そのものは、あの事件以前からクレジットカード各社は、それぞれ独自に要求規格を用意していました。

その背景には、クレジットカード会社としてのブランドの堅持ということがあります。クレジットカードナンバーの漏洩が相次ぐということになると、あのクレジットカード会社のカードは安心して使えないということになります。つまり、この規格は企業としてブランドを堅持するためにクレジットカードデータを取り扱う全ての関係者に最低限要求する必要があるセキュリティ対策としてまとめられました。その根底には、米国で浸透しつつある「サプライチェーン・リスクマネジメント」という考え方があります。

「PCIDSS」の本質とは？

「サプライチェーン・リスクマネジメント」は、日本でまだ言葉として馴染みが薄いと思いますが、現在のビジネスにおいては、IT活用シーンが増えるに従い、1社のデータプロセスだけで完結するということはほとんどありません。例えば、物販を例に挙げますと、注文を取り付けるのは、あるインターネット上の仮想商店であるかもしれませんが、実際には商品を扱っている企業へデータが電送されると同時に、配送業者への出荷指示や決済代行会社へも送られます。今や、1つの企業の中で全てのデータプロセスが完結するというような時代ではなくなってきているのです。

お客様と対峙している企業がブランドを守るためには、当然そのサプライチェーンというお客様へのサービスが、最終的に完結するまでの関係者全体を見渡して、リスクマネジメントをしていかなければなりません。自社だけでいくら高度なセキュリティ環境を構築したところで、取引先がずさんな管理をしていれば、結果的には自社のブランドが崩壊してしまうということになります。アメリカでは、「サプライチェーン・リスクマネジメント」という考え方が数年前から出てきていますが、結果的に具体的なセキュリティ実装レベルの要求を突きつけるという風潮は、実はカード会社に限らず行なわれつつありました。その中で、最も率先して、業界をあげて構築されたものが、今回の「PCIDSS」です。従って、当社では、「PCIDSS」の要求基準は、クレジットカードを扱う事業者に限らず、一般の企業でも適用できると考えています。いずれ日本の企業もサプライチェーン全体を見渡したリスクマネジメントにフォーカスしていく時代が来るのではないでしょうか。