普及活動から9年のPCI DSS--日本で“市民権”を得られるか

國谷武史 (編集部) 2017年11月17日 06時00分

  • このエントリーをはてなブックマークに追加

 クレジットカード情報のセキュリティ基準「PCI DSS(Payment Card Industry Data Security Standard)」は、大手カードブランドのAmerican Express、Discover、JCB、Master Card、VISAが2004年に共同策定した。誕生から10年以上を経て、国内でもようやくPCI DSSへの対応が本格化している。

 PCI DSSは、クレジットカード情報の保護で求められる基本的なセキュリティ対策を示した12の要件と、各要件で具体的な方法などを提示する約400の項目から構成される。対象はカード加盟店やカード発行会社、決済代行会社、システムメーカーなど多岐にわたるが、順守すべき要件や項目は異なり、それぞれの立場に応じた対策への取り組みを求めている。2017年11月時点での最新版は2016年4月に改訂、同年11月に発効したバージョン 3.2だ。

PCI
PCI DSSにおける12要件の概要(出典:PCI SSC資料)

 当初は、米国で対応や順守に向けた活動が中心だった。インターネットの普及も相まってオンラインで商品を購入、決済するeコマースが広がり、クレジットカード情報の窃取や悪用を狙うサイバー犯罪が台頭。企業から大量のカード情報が流出する事件が相次ぎ、不正使用で多額の損害を被る利用者が急増するなど、カード発行会社などによっては、ペナルティを科すことで、加盟店にPCI DSSへの準拠を実質的に義務付けるような活動も展開された。

 国内では、2008年頃からITベンダーなどがPCI DSSの普及に乗り出し、PCI DSSの推進団体PCI SSC(PCI Security Standards Council)の国内連絡会や日本カード情報セキュリティ協議会(JCDSC)が設立された。ただ、加盟店レベルで対応が本格化するまでには、さらに時間を要している。

 PCI SSCで海外普及を担当するインターナショナルディレクターのJeremy King氏は、日本における2008年からの普及に向けた9年間を長い道のりだったと振り返る。「まず、なぜカード情報のセキュリティ強化が必要なのか、そのために何をすべきかを理解してもらうことが課題だった。日本におけるカード決済の使用率は1割強と海外に比べて低く、犯罪発生率も諸外国に比べて低いため、カード犯罪の危険性や脅威を知ってもらうに注力してきた」

 その後、国内でもeコマースや電子マネーの普及が急速に進み、店舗やオンラインでのカード決済が日常的になった。同時に米国で見られるようなカード情報の流出やそれによる不正使用の被害といった事件も増え、社会問題化していく。

PCI
PCI SSC インターナショナルディレクターのJeremy King氏

 PCI DSSの本格普及としては、2013年に決定した2020年の東京五輪開催や観光立国を目指す日本の政策が契機にもなった。急増する来日観光客がカード決済するシーンは日常的になり、加盟店などに国際水準のセキュリティを求めるようになる。King氏も、2015年の来日時に応じたZDNet Japanのインタビューで、大きく変化し始めた日本でのPCI DSS普及に向けた取り組みを語っている。

 こうした経緯により、2016年2月には経済産業省が主導する「クレジット取引セキュリティ対策協議会」から国内クレジットカード業界におけるPCI DSSへの準拠を2020年までに進める実行計画が発表された。

 2017年2月にはこの計画の改定版(PDF)が発行され、2018年度に施行される「改正割賦販売法」を見据えたPCI DSSに基づく対応を加盟店レベルにも求めていく方針が打ち出された。2018年3月までにカード会社や決済代行会社におけるPCI DSSの準拠が義務付けられ、加盟店においても2020年3月までに、カード情報を保持しない仕組みを整備するか、PCI DSSへの準拠が義務付けられることになった。

 この間にKing氏は、日本でのPCI DSSへの対応が円滑に進むための環境整備に注力してきたという。例えば、数々の英文ドキュメントの日本語化では、JCDSCと連携しながら一つ一つの表現レベルで英語と日本語との整合性を確認しながら翻訳を進め、ウェブサイトなどで確認できるようにした。PCI SSCのウェブサイト自体も日本語を含む多言語対応を図った。

 またKing氏自身も度々来日して、PCI DSSへの対応に取り組む企業担当者に向けたトレーニングを担当。毎回定員をオーバーする状況で、ぎりぎりまで定員枠を増やして対応している。加盟店や決済代行会社などそれぞれの立場に応じた達成すべきステップや、決済方法(対面販売やオンライン、電話など)に応じた運用手順を示したり、IT専任の担当者がいないような小規模加盟店向けに具体的な方法をアドバイスしたりすることも重ねてきたという。

 日本と同様に、英国やインドなどでも国を挙げてPCI DSSへの対応に取り組むケースが増えており、現在はPCI DSSが本当の意味で世界的なセキュリティ基準の1つとして“市民権”を得つつある状況だ。

 PCI DSSは今後も改訂を重ねながら、新しい脅威やセキュリティ技術への対応を進めていく。「モバイル決済や3Dセキュア(クレジットブランドが提供する本人認証サービス)などの新しい仕組みが登場しており、利用者に負担をかけることなくカード情報を保護できるようにしたい。例えば、利用者が決済する場所が異なっても都度情報を入力することなく、さまざまデータから本人確認できるようなことが求められる」

 PCI DSSへの対応に向けた本格的な取り組みがようやく始まったが、それで終わりではなく、脅威や対策の変化に対応してカード利用者の安全を維持することが重要だと話している。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

  • このエントリーをはてなブックマークに追加

この記事を読んだ方に

関連ホワイトペーパー

連載

CIO
インシデントをもたらすヒューマンエラー
トランザクションの今昔物語
エリック松永のデジタルIQ道場
研究現場から見たAI
Fintechの正体
米ZDNet編集長Larryの独り言
大木豊成「仕事で使うアップルのトリセツ」
山本雅史「ハードから読み解くITトレンド放談」
田中克己「2020年のIT企業」
松岡功「一言もの申す」
松岡功「今週の明言」
内山悟志「IT部門はどこに向かうのか」
林 雅之「デジタル未来からの手紙」
谷川耕一「エンプラITならこれは知っとけ」
大河原克行「エンプラ徒然」
内製化とユーザー体験の関係
「プロジェクトマネジメント」の解き方
ITは「ひみつ道具」の夢を見る
セキュリティ
「企業セキュリティの歩き方」
「サイバーセキュリティ未来考」
「ネットワークセキュリティの要諦」
「セキュリティの論点」
スペシャル
ざっくりわかるSNSマーケティング入門
課題解決のためのUI/UX
誰もが開発者になる時代 ~業務システム開発の現場を行く~
「Windows 10」法人導入の手引き
ソフトウェア開発パラダイムの進化
エンタープライズトレンド
10の事情
座談会@ZDNet
Dr.津田のクラウドトップガン対談
Gartner Symposium
IBM World of Watson
de:code
Sapphire Now
VMworld
Microsoft WPC
Microsoft Connect()
HPE Discover
Oracle OpenWorld
Dell EMC World
AWS re:Invent
AWS Summit
PTC LiveWorx
より賢く活用するためのOSS最新動向
古賀政純「Dockerがもたらすビジネス変革」
中国ビジネス四方山話
ベトナムでビジネス
米株式動向
日本株展望
企業決算