米大手クレジットカード会社がセキュリティ標準機関を設立

　米大手クレジットカード会社、American Express、Discover Financial Services（DFS）、JCB、MasteCard Worldwide、Visa Internationalの5社は、クレジットカード業界のセキュリティ標準「Payment Card Industry Data Security Standard（PCI DSS）」の改訂やその普及、管理などを行う監督機関「PCI Security Standards Council（PCI SSC）」の設立を発表した。

2005年のカード流出事件はNY州で6,000億円、国内でも1億円以上

　昨年6月にMasterCardなど米大手カード会社の個人情報4,000万件以上が流出した事件は、少なくとも7万枚以上が不正使用されるなど業界に大きな衝撃をもたらした。日本でも日本信販など提携しているカード会社の情報が流出するなど、国内だけで被害額は1億円以上にのぼるとされているが、これもすべての実態が把握できたわけではない。

カード情報不正利用の概要

PCI DSSはセキュリティ技術要件

PCI SSCのホームページ

　こういった事件を受けてPCI DSSが策定されたわけだが、その基準は曖昧で利用者から順守が困難との指摘があった。そこで今回、共同の第三者機関を設けることで、一元的な対応と共通基準、監査手続きの確立を行い、効率的に同基準に準拠できるように実効性を高める。

　PCI DSSとは、クレジットカードを取り扱う小売店やオンライン販売業者、POSベンダーなどが、ネットワークやソフトウェアの安全性を確保するため、定期的に第三者の監査を受けるために定めた技術要件。PCI SSCは、このPCI DSSの普及を行ったり、導入の橋渡し役となることで、採用が22％にも満たないとされるPCI DSSの実効性を高めることができる。これに伴い、以下の目的に基づいた実施基準の改訂版PCI DSS version 1.1が発表された。今後この基準をベースとした技術標準が日本でも普及するものとみられる。

1.セキュアネットワークの構築と維持
2.カード所持者の個人情報保護
3.脆弱性マネジメントプログラムの維持
4.SAC（Strong Access Control）対策の実行
5.ネットワークの評価・テストの標準化
6.情報セキュリティポリシーの維持