開閉ボタン
ユーザーメニュー
ユーザーメニューコンテンツ
ログイン

  • 会員限定
  • 2009/04/07

PCI DSSから学ぶグローバルセキュリティ標準(6)PCI DSSに関する国内外の最新動向

クレジットカード会員情報を保護するための事実上の国際標準規格で、2008年に入ってから日本国内でもセキュリティ業界を中心に急速に関心が高まっている「PCI DSS:Payment Card Industry Data Security Standard」。本連載では、ビジネスアシュアランス 代表取締役社長で、ネットワンシステムズ セキュリティ事業推進本部本部長をつとめる山崎文明氏に、PCI DSSについて解説いただくとともに、そこから学べる情報セキュリティ対策についての戦略をご紹介いただく。

山崎文明

山崎文明

ビジネスアシュアランス 代表取締役社長
ネットワンシステムズ セキュリティ事業推進本部本部長
工学院大学 技術者能力開発センター 客員講師
システム監査技術者(経済産業省)/英国規格協会公認BS7799情報セキュリティ・スペシャリスト
 大手外資系会計監査法人にてシステム監査に永年従事。システム監査、情報セキュリティ、個人情報保護に関する専門家として情報セキュリティに関する政府関連委員会委員を歴任。(以下、委員などの就任実績)内閣官房安全保障危機管理室 情報セキュリティ対策推進室WG委員、警察大学校不正アクセス犯罪等対策専科講師、学校セキュリティ検討委員会委員(経済産業省)、サイバーテロ演習評価委員会委員(経済産業省)、不正プログラム調査研究委員会委員(警察庁)、サイバーセキュリティ調査研究委員会委員(警察庁)
 主な著書に「PCIデータセキュリティ基準 完全対策」(日経BP社 監修)「すべてわかる個人情報保護」(日経BP社)、「情報セキュリティと個人情報保護 完全対策」(日経BP社)、「情報セキュリティハンドブック」(オーム社 共著)、「システム監査の方法」(中央経済社 共著)、「コンティンジェンシー・プランニング」(日経BP社 共著)、セキュリティマネジメント・ハンドブック(日刊工業新聞社 共著)などがある。

日本国内にも影響あり?PCI SSCの議長が交代

 直近のPCI SSCの動きで最も注目すべきは、1月1日付で行われたエグゼクティブ・コミッティの議長交代である。エグゼクティブ・コミッティは、SSCの最高意思決定機関であり、毎年、5大国際カードブランド(アメリカンエクスプレス、ディスカバー・フィナンシャル・サービシーズ、JCBインターナショナル、マスターカード・ワールドワイド、VISA)から選出されることになっている。

 2009年度は、議長としてJCBインターナショナルのデベイラ(LIB DE VEYRA)氏が選出された。JCBから議長を出すということは、JCBが先頭に立ってPCI DSSの普及に取り組むことを意味するため、日本国内における普及にも注力されるとみられている。デベイラ氏は、JCBインターナショナルで先端技術担当バイスプレジデント(Vice President, emerging technologies)という職位にあり、JCBインターナショナルのブランド・セキュリティ・ポリシーに責任を持つ立場にある人物だ。

全世界統一基準を打ち出したVISA

 もう一つ、PCI DSSの日本国内への普及に大きく影響しそうな動向として見逃せない点がある。VISAが昨年11月13日にPCI DSSの普及プログラムを全世界共通とすることを発表したことである。「PCI DSS遵守の国際的な義務化に向けたタイムライン」と題された発表は、2009年9月30日までにアクワイアラに対して、すべての、レベル1、レベル2加盟店が全磁気ストライプデータ、セキュリティコードまたはPINデータを含むセンシティブなカード関連情報を取引認証後に保管していないことを確認、報告することを求めた上で、すべてのレベル1、レベル2加盟店が保管禁止データを保管していないことの証明書の提出を義務付けるものだ。

アクワイアラ:クレジットカードの加盟店獲得や管理業務を行っている会社のこと
レベル1加盟店:年間のVISA決済件数が600万件超の加盟店
レベル2加盟店:年間のVISA決済件数が100万件超、600万件以下の加盟店

 同様に、2010年9月30日までにアクワイアラに対し、レベル1加盟店のPCI DSS完全遵守バリデーション完了の遵守証明書を提出することを求めており、期限までにすべてのレベル1加盟店のPCI DSS完全遵守バリデーションが完了したことの証明書をアクワイアラが、VISAに対し提出することを義務付けている。いずれも期限までに証明書の提出がなされなかったアクワイアラに対しては、罰金を科すこともあると警告をしている。今までは、アクワイアラに対する罰金制度などの適応については、各国の事情が勘案されていたが、今後は、全世界統一ルールを適用して運用すると決めたことは、日本国内でも米国同様にPCI DSSへの準拠が厳しく求められることを意味する。

セキュリティ戦略 ジャンルのセミナー

セキュリティ戦略 ジャンルのトピックス

セキュリティ戦略 ジャンルのIT導入支援情報

関連リンク

PR

ビジネス+IT 会員登録で、会員限定コンテンツやメルマガを購読可能、スペシャルセミナーにもご招待!