PCI DSS（Payment Card Industry Data Security Standard）は、クレジット産業界が導入した実装レベルのセキュリティ対策基準である。いま、なぜクレジット産業界が実装レベルのセキュリティ対策基準を必要としているかは明らかだ。前回ご紹介した「PCI DSSの背景」で紹介したように、相次ぐクレジットカード会員情報の漏えい事件を起原としたクレジットカードの不正使用による犯罪被害が急拡大している現状への対策として、その普及が急がれているのだ。

　こうした現象はクレジットカード業界に限ったことと、無関心な読者も多いのではないだろうか。だが、企業のコンピューターやデータベースがインターネットなどを通して強く結合している今、もはや1企業では情報セキュリティを確保し得ない。クレジットカード業界が置かれているのと同じような状況が、一般企業にも遅かれ早かれ訪れる日が来るのである。そのため、多くの企業はこうした事態を想定したセキュリティ対策への取り組みが求められる。


　米国では、2005年に発覚したカードシステムズソリューション社の4,000万件にものぼる大量のクレジットカード会員情報の漏えい事件に引き続き、2007年1月にも衣料雑貨チェーンストア大手のTJX社で、4,500万件以上ともいわれるクレジットカード情報漏えい事件が発生し、今もなお注目を集めている。クレジットカードの不正使用による被害が未だに収束の気配を見せないことから、一部の州では集団訴訟にも発展し始めている。

　この事件の直接の引き金になったのは中国国内からのハッキングによるものとされているが、そもそも小売店（加盟店）であるTJX社がPCI DSSの要求事項に従わず、不必要なクレジットカード番号情報を保存していたことが最大の原因である。さらに同様の事件は、日本国内でも急増している。今年3月には音響機器の輸入販売を行うサウンドハウス、また、5月には「アイドラッグストアー」「アイビューティーストアー」などのネット通販を展開するオズ・インターナショナルのWebサイトが、中国国内から行われたSQLインジェクション攻撃を使用した不正アクセスを受け、クレジットカード番号や有効期限、ログインパスワードなどが流出し、クレジットカードの不正利用が発生している。

　PCI DSSの本質は、情報を取り扱う当事者が自らの判断でセキュリティ対策を選択・実施している現在のスキームの延長では、もはや限界とみた国際カードブランドが、情報の取扱を許可する条件として、具体的なセキュリティ対策の実装を要求したことにある。事実上の国際標準とはいえ、情報管理の主体が情報を取り扱う当事者にも契約上の義務として基準への準拠を求めている点は、PCI DSSが情報セキュリティマネジメントシステム（ISO27001）に代表される他の国際標準規格と大きく異なる点だ。


　先に紹介したサウンドハウス社の事例では、社長の中島尚彦氏が「不正アクセスに伴うお客様情報流出に関するお詫びとお知らせ　2008年4月18日」と題して22ページにも及ぶやり場のない不満を切々と述べておられる（参考PDF）。その文書の中に興味深い一節がある。お客様からの指摘として「個人情報管理が甘かったのではないか」との問いに対して、2008年2月に警察庁が公表した企業におけるセキュリティ対策の実態調査報告書を引用して、ファイアーウォールや不正アクセス検知システムの導入率との比較を行い、「通常、企業が取るべき対策は取っており、完璧ではないが、落ち度があったと言えるレベルでもない」との見解を示されている。サウンドハウス社は、決してセキュリティをおざなりにしてきた企業でないことは、「お詫びとお知らせ」の内容からも推察できる。一方、セキュリティに関心が高いエンジニアであればセキュリティの専門家でなくともこの時期、SQLインジェクション攻撃によるハッキングの被害が急増していることも周知であるし、その対策として何をなすべきかは、明確ではないかとの意見も多い。問題の本質は、この認識のギャップにある。