PCI DSS(ピーシーアイ ディーエスエス)とは: Payment Card Industry Data Security Standardの略。クレジットカードの加盟店・決済代行事業者が、取り扱うカード会員のクレジットカード情報・取り引き情報を安全に守るために、MasterCard・American Express・Discover・JCB・VISAの国際ペイメントブランド5社が共同で策定した、クレジット業界におけるグローバルセキュリティ基準。

マスターカード・ワールドワイド ジャパンオフィス セキュリティー・リスクマネジメント 日本／韓国／グァム ビジネスリーダー 荒川明良氏

　現代のカードセキュリティを考える場合、世界規模で拡大するインターネット取引に対応できるセキュリティすなわち「グローバルスタンダード」と、被害が起こってからではなく未然に防ぐ「事前対策」の2つの視点から考えていくべきだと荒川氏は切り出した。

　「カードセキュリティにおける問題には、大きく3つあります。盗難、偽造、非対面取引（CNP）です。このCNPというのはちょっとわかりにくい言葉ですが、Card Not Present、つまりネットショップでのオンライン決済のように、取引時にカードが対面で提示されない取引です。このCNPにおけるセキュリティ問題の比率が、年々増えてきています。ICカードの普及で偽造が減っているのに対して、ネット取引の拡がりに比例してCNPが世界的に増えているのです」。

　また、今のところCNPでのセキュリティ被害には、決済後にそれが不正な取引だったことを申し立てて償還請求を行う「チャージバック」があるが、しょせん事後対応にすぎない。やはり、事前対策こそが重要かつ有効な対策になると荒川氏は強調する。

　「CNPにおけるセキュリティ対策には2つあります。まず、販売時点での取引データの唯一無二性（ユニークトランザクション）を確認する方法ですが、その検証のためのシステムが必要です。支払カード業界では3D Secureと呼ばれているテクノロジーでMasterCardではSecureCodeと言うサービスを展開しています。SecureCodeによるセキュリティー対策と同時に重要な対策として、そもそもカードデータの流出を防ぐことを考えなければいけません。つまり問題の根本を絶つことで、これはもっとも有効な解決策であり予防策となります。そのための具体的かつ実効的な標準として、PCI DSSが生まれたのです」。



　では、そもそもPCI DSSとはどんなものなのだろうか。

　「PCI DSSそのものは、カードでの取引情報や会員の個人情報を守るために必要なセキュリティ基準の集大成です。しかし、“カード情報のセキュリティ”とはいうものの、実際の取引を行う個々の店舗では、データをどう取り扱うべきか、どこまで取り扱ってよいのかという、さまざまなデリケートな問題があり、判断も対応もバラバラでした。そうした状況に応えて、具体的な基準を決定したのがPCI DSSなのです」。

　PCI DSSの策定までの歴史は、2000年台初頭にさかのぼる。それまでカード業界では、有力なペイメントブランドが、各々独自にセキュリティ対策を実施していた。具体的には、マスターカードは加盟店のネットのデータセキュリティにフォーカスした対応に、一方ビザカードは対面取引にそれぞれ注力していたという。

　「しかし、多くの加盟店は両社のどちらともと取引があります。そこで、別々の基準を使い分ける不便さを減らすためにも、2005年に相互の認証機関を認めることにしたのです。さらにその後アメリカンエキスプレス、JCB、ディスカバーファイナンシャルが加わり、国際ペイメントブランド5社による標準を策定してセキュリティを集中管理しようと、PCI DSSが誕生したのです」。

　この時、同時にPCI SSC（PCIセキュリティスタンダード協議会）も設立され、現在にいたるまでPCI DSSの維持、管理、普及にあたっている。

「あらかじめPCI DSSにのっとって データの取扱い方を細かく決めておけば、 予見できなかったセキュリティ被害を 未然に防ぐことが可能になるのです」

　では、いよいよPCI DSSのもたらすメリットについて聞いてみよう。だが荒川氏は、その前になぜここまで厳格にデータを管理しなくてはならなくなったのか、考えてみてほしいという。支払いカードには個人情報や取引情報など貴重なデータが詰まっている。管理が必要なのは当たり前ではないかと、いぶかる向きもあるだろう。

　「それは、たしかにそのとおりです。しかし目下の問題は、その大事なデータを持っている店や企業が、自分で持っていることすら知らない状況が拡がりつつあるということなのです」。

　ディスクなどの物理メディアからネットワークを経由した転送へと、データの可搬性が上がってきた結果、どこにデータがあってどこに移動するのかを、データを扱っている企業や担当者ですら把握できにくくなっているのが実状であり、それがよりシビアなデータ管理が要求される背景となっていると荒川氏は指摘する。

　「実際のところ、データ流出事件のほとんどは、店や企業自身がそのデータを持っていたことにすら気づいていなかった例が多いのです。かといって、データセキュリティの専門家を常駐させておける店舗は多くありません。そこで、あらかじめPCI DSSにのっとってデータの取扱い方を細かく決めておけば、予見できなかったセキュリティ被害を未然に防ぐことが可能になるのです」。

　PCI DSSに準拠する条件さえ満たせれば、専任の情報システム技術者が確保できない店舗であっても、必要充分なセキュリティ水準を維持できるのだ。ひいては、万が一のデータ流出によって社会的信用の下落や風評リスクといった、企業経営における甚大な被害を回避できる点こそが、PCI DSSのメリットといえよう。



　ところで、これまでも企業のデータセキュリティ確保のためには、日本情報処理開発協会（JIPDEC）を中心に運用されているISMS（Information Security Management System）のような制度が存在している。PCI DSSはこうした既存の制度に比べて、どんな点が異なっているのだろうか。

　「ISMSは、あくまでマネジメントサイクルの枠組みを示すものです。各企業がデータセキュリティに関してどのようなPlan-Do-Seeサイクルを実行すべきかを示しているにとどまっており、そのレベルは各自の店や企業が決めてよいのです。つまり、実践者自身がハードルを低くしようと思えば低くなってしまうという懸念があります」。

　一方、PCI DSSは具体的、定量的な規範と検証のための手順を、きわめて具体的な基準に沿って示している点が大きく異なっていると荒川氏は言う。

　PCI DSSでは、顧客データを扱うシステムを適切に管理するための6つの「コントロールの目的」が示され、その実践に必要なネットワークアーキテクチャ、ソフトウェアデザイン、セキュリティマネジメントなどの基準として12の要件が決められている。さらにこの要件は階層的に整理されながら約200項目にわたり、システムの実装レベルにいたるまで細かく、具体的な手順や数値を示しながら定められている。

　「多くのセキュリティ担当者は、何を基準にセキュリティ対策を進めて良いのか悩んでいると聞いています。PCI DSSはそうした実務者にとって、明確な指針となるものです。また、PCI DSSはあくまで私たちカード業界のセキュリティ標準として作られたものですが、最近ではカード以外のインダストリーにも応用できるのではないかという期待の声もいただいています」。

　PCI DSSの導入例は米国を中心に拡がっており、大手航空会社のチケットのカード購入などに活用されている。日本国内でも百貨店やガソリンスタンド業界、ネット企業などに採用が拡大。さらに、加盟店のバックエンドを担当するサービスプロバイダでも採用が進んでいるという。また最近では、PCI SSCが主体となってペイメントアプリケーションや暗証番号入力機器の安全性基準も公表されている。



　今後の日本におけるPCI DSSの普及・展開はどうなっていくのだろうか？

　「PCI DSSは、PCI SSCを構成する各ペイメントブランドの協力なしにはありえません。もちろんビジネスにおいてはお互いによきライバルですが、PCI DSSの普及に関しては共に手を携えていくことが必要です。今現在もっとも急務となるのは、わが国におけるPCI DSSの認知度のさらなる向上ですね。PCI DSSを実際の取引のシステムに実現させていくには、その実施に助言をするコンサルタントやシステムの開発を行うエンジニアなどを、数多く育成することが不可欠です。そのためにも、1人でも多くの方にPCI DSSの存在と意義を知っていただくことが、私たちに課せられた当面のテーマだと考えています」。

　PCI DSSの実施に携わるのは加盟店やサービスプロバイダだけではない。脆弱性のオンサイトレビューを行う訪問審査期間やスキャニングベンダ、加盟店との契約を手がけるアクワイアラーなど数多くのプレイヤーが存在するのだ。

　「こうしたプレイヤーの方々を、コストの問題も含めてどのように引きつけ、普及に手を貸していただける地盤を築いていけるかがポイントになると思います。まだまだPCI DSSの知名度は満足のいくものではありませんが、数年後にはそれがごく当たり前の規範として受け入れられることを目指してチャレンジしていきたいと思っています」。

　12月12日（金）に開催されるセミナー「変わるクレジット業界のセキュリティ～今、取るべき対策とは？」では、本記事でふれた基本的なことがらに加えて、PCI DSSを実装した場合のメリットや、実施しなかった場合のダメージなどについても、具体的かつ詳細な例を挙げながら紹介したいと荒川氏は意気込みを見せる。次代のカードセキュリティ標準に関心をいだく方は、ぜひ参加されることをおすすめしたい。