PCI DSSとは、「Payment Card Industry Data Security Standard」の略で、クレジットカード会員情報を保護するための事実上の国際標準規格である。2008年に入ってから日本国内でもセキュリティ業界を中心に急速に関心が高まっている。一般には、「クレジットカード会社のセキュリティ基準」と理解されているが、PCI DSSは、直接クレジットカードの決済業務に関係しない一般企業でも応用できる実装レベルのセキュリティ対策基準であり、直面している情報セキュリティ対策上の課題解決に大いに役立つものとして、米国でも広く普及を促す動きがある。本稿でPCI DSSを理解するとともに、情報セキュリティ対策への戦略を見直す機会として頂ければ幸いである。
PCI DSSとは何か
PCI DSSとは、クレジットカード・ブランドをカード会社に供与することをビジネスとする企業(国際カードブランドと呼ばれる)の大手5社(Visa Inc.、MasterCard Worldwide、American Express、Discover Financial Services、JCB International)が共同して作成したクレジットカード会員情報を保護するためのセキュリティ実装対策基準である。元々は、国際カードブランド各社がそれぞれ個別にクレジットカード会員情報を保護するための規格を策定し、運用していたものが、2004年12月に統合され、クレジットカード業界の統一規格としてPCI DSS バージョン1.0として公表されたのが最初である。
現在は「PCIセキュリティ標準協議会(PCI Security Standards Council:PCI SSC)」が基準の策定、改良、普及、導入支援を実施している。PCI SSCは、2006年9月に設立された団体で、現在、全世界で446社が加盟している。筆者も協議会のメンバーであり、同基準の実効性を確保するための改善提案を行う役目を担っている。米国でもPCI DSSが注目を集めるようになったのは、PCI SSCが設立されてからである。
筆者は、毎年、春と秋の最低2回は渡米し、
CSI SX(旧名:NetSec)をはじめとする情報セキュリティに関するカンファレンスへ参加し、米国における情報セキュリティに関する動向を調査している。CSI SXは、
CSI(Computer Security Institute)が主催する情報セキュリティに特化したカンファレンスで、講演者は、大手企業のCISO(Chief Information Security Officer)やセキュリティを専門とするコンサルタントなど、実務家が多いのが特徴である。
CSI SXで取り上げられる講演テーマは、間違いなく米国における情報セキュリティに関する最新の関心事を示しており、そこで語られるテーマは、米国企業が直面する情報セキュリティ上の重要な問題である。ここでのテーマは、私たち日本人にとっても多少の時間差こそあれ、近い将来必ず対応を迫られる課題を暗示している。PCI DSSがCSI SXでテーマとして最初に取り上げられたのは、2006年6月12日から14日にかけて米国アリゾナ州スコッツデールで開催された時である。
この年のPCI DSSに関する講演は、おそらくすべてのセッションの中で最も関心が高かったのではないだろうか。講演者は高級な音響機器で有名なBOSEのCISO、質問者はPCI DSSの認証審査を間近に控えたカジュアル衣料のGAPのCISOといった名だたる大手企業であり、その熱心さにただごとではない予感がしたことを記憶している。筆者は、いずれ日本でも対応が迫られるとの確信のもとにPCI DSSに関する情報収集やPCI SSCのゼネラルマネジャーBob Russo氏との意見交換を行ってきた。
PCI DSSは止むことのないカード情報の漏えいの切り札
PCI DSSが策定された背景には、止むことのないクレジットカード会員情報の漏えいと漏えいしたクレジットカード会員情報が悪用されるクレジットカード犯罪の急増がある。2005年、米国で発覚したカードシステムズソリューション社(本社:アリゾナ州)における4000万件にものぼる大量のクレジットカード会員情報漏えい事件は記憶に新しいだろう。
クレジットカード会員情報の漏えい事件が頻発すれば国際カードブランドとしての信用が低下するだけでなく、カード利用者のカード再発行コストや損害金の補填費用が増大し、カード会社そのもの死活問題にも発展しかねない。そこで国際カードブランドとしては、自らのブランドを守るためにクレジットカード会員情報を処理するすべての企業にセキュリティ上の要求事項を遵守することを求めているのである。
クレジットカードの不正利用犯罪にまつわる被害金額は、クレジットカードのICカード化が偽造カードの作成を困難にしたことから、ここ数年ドラスティックに減少している(
図1)。