クレジットカード情報のセキュリティ基準「PCI DSS(Payment Card Industry Data Security Standard)」は、大手カードブランドのAmerican Express、Discover、JCB、Master Card、VISAが2004年に共同策定した。誕生から10年以上を経て、国内でもようやくPCI DSSへの対応が本格化している。
PCI DSSは、クレジットカード情報の保護で求められる基本的なセキュリティ対策を示した12の要件と、各要件で具体的な方法などを提示する約400の項目から構成される。対象はカード加盟店やカード発行会社、決済代行会社、システムメーカーなど多岐にわたるが、順守すべき要件や項目は異なり、それぞれの立場に応じた対策への取り組みを求めている。2017年11月時点での最新版は2016年4月に改訂、同年11月に発効したバージョン 3.2だ。
PCI DSSにおける12要件の概要(出典:PCI SSC資料)
当初は、米国で対応や順守に向けた活動が中心だった。インターネットの普及も相まってオンラインで商品を購入、決済するeコマースが広がり、クレジットカード情報の窃取や悪用を狙うサイバー犯罪が台頭。企業から大量のカード情報が流出する事件が相次ぎ、不正使用で多額の損害を被る利用者が急増するなど、カード発行会社などによっては、ペナルティを科すことで、加盟店にPCI DSSへの準拠を実質的に義務付けるような活動も展開された。
国内では、2008年頃からITベンダーなどがPCI DSSの普及に乗り出し、PCI DSSの推進団体PCI SSC(PCI Security Standards Council)の国内連絡会や日本カード情報セキュリティ協議会(JCDSC)が設立された。ただ、加盟店レベルで対応が本格化するまでには、さらに時間を要している。
PCI SSCで海外普及を担当するインターナショナルディレクターのJeremy King氏は、日本における2008年からの普及に向けた9年間を長い道のりだったと振り返る。「まず、なぜカード情報のセキュリティ強化が必要なのか、そのために何をすべきかを理解してもらうことが課題だった。日本におけるカード決済の使用率は1割強と海外に比べて低く、犯罪発生率も諸外国に比べて低いため、カード犯罪の危険性や脅威を知ってもらうに注力してきた」
その後、国内でもeコマースや電子マネーの普及が急速に進み、店舗やオンラインでのカード決済が日常的になった。同時に米国で見られるようなカード情報の流出やそれによる不正使用の被害といった事件も増え、社会問題化していく。
PCI SSC インターナショナルディレクターのJeremy King氏
PCI DSSの本格普及としては、2013年に決定した2020年の東京五輪開催や観光立国を目指す日本の政策が契機にもなった。急増する来日観光客がカード決済するシーンは日常的になり、加盟店などに国際水準のセキュリティを求めるようになる。King氏も、2015年の来日時に応じたZDNet Japanのインタビューで、大きく変化し始めた日本でのPCI DSS普及に向けた取り組みを語っている。
こうした経緯により、2016年2月には経済産業省が主導する「クレジット取引セキュリティ対策協議会」から国内クレジットカード業界におけるPCI DSSへの準拠を2020年までに進める実行計画が発表された。
2017年2月にはこの計画の改定版(PDF)が発行され、2018年度に施行される「改正割賦販売法」を見据えたPCI DSSに基づく対応を加盟店レベルにも求めていく方針が打ち出された。2018年3月までにカード会社や決済代行会社におけるPCI DSSの準拠が義務付けられ、加盟店においても2020年3月までに、カード情報を保持しない仕組みを整備するか、PCI DSSへの準拠が義務付けられることになった。
この間にKing氏は、日本でのPCI DSSへの対応が円滑に進むための環境整備に注力してきたという。例えば、数々の英文ドキュメントの日本語化では、JCDSCと連携しながら一つ一つの表現レベルで英語と日本語との整合性を確認しながら翻訳を進め、ウェブサイトなどで確認できるようにした。PCI SSCのウェブサイト自体も日本語を含む多言語対応を図った。
またKing氏自身も度々来日して、PCI DSSへの対応に取り組む企業担当者に向けたトレーニングを担当。毎回定員をオーバーする状況で、ぎりぎりまで定員枠を増やして対応している。加盟店や決済代行会社などそれぞれの立場に応じた達成すべきステップや、決済方法(対面販売やオンライン、電話など)に応じた運用手順を示したり、IT専任の担当者がいないような小規模加盟店向けに具体的な方法をアドバイスしたりすることも重ねてきたという。
日本と同様に、英国やインドなどでも国を挙げてPCI DSSへの対応に取り組むケースが増えており、現在はPCI DSSが本当の意味で世界的なセキュリティ基準の1つとして“市民権”を得つつある状況だ。
PCI DSSは今後も改訂を重ねながら、新しい脅威やセキュリティ技術への対応を進めていく。「モバイル決済や3Dセキュア(クレジットブランドが提供する本人認証サービス)などの新しい仕組みが登場しており、利用者に負担をかけることなくカード情報を保護できるようにしたい。例えば、利用者が決済する場所が異なっても都度情報を入力することなく、さまざまデータから本人確認できるようなことが求められる」
PCI DSSへの対応に向けた本格的な取り組みがようやく始まったが、それで終わりではなく、脅威や対策の変化に対応してカード利用者の安全を維持することが重要だと話している。
