壇上でミッキーマウスの帽子をかぶりPCI DSSの非常にシンプルな大原則「不必要なデータは、持たない」、「重要なデータは、保護する。」について強調するPCI SSCのゼネラルマネジャー、ボブ（Bob Russo）氏。

　2008年9月23日から25日にかけて、PCI DSSの策定と普及を担っている団体PCI SSC（PCI Security Council）の年次総会（Community Meeting）が、フロリダ州オーランドで開催されました。SSC会員として出席しましたので、第4回は特別編ということでPCI DSSに関する最新情報をお届けすることにいたします。

　今回の年次総会は、主に次期のPCI DSSのバージョン1.2（現行のバージョンは1.1）に関する説明と最終承認を目的に開催されました。新規バージョン1.2は、今回の総会で承認されたので、10月1日からすでに適用が開始されています。旧バージョン1.1は、今年（2008年）12月末を持って無効とすることが決定しています。移行期間である10月1日から12月31日の間に実施されるPCI DSSへの適合性審査は、新旧いずれのバージョンでも可能ですが、来年1月以降にQSA監査を受ける企業は、新バージョンへの対応が求められるので注意が必要でしょう。

v1.2は、現在PCI SSCのWebサイトにて英語版が公開されています。 また、筆者の所属するネットワンシステムズのホームページで日本語版を公開していますので参照してください。

ボーダレスかつ国際的規模で見ず知らずの犯罪者が手を組んでクレジットカード犯罪が行われている現状について語る米国司法省のキンバリー女史（Kimberly Kiefer Peretti　）。

　ここで改めてPCI SSCという組織がどういうものであるかを説明しておきましょう。PCI SSCは、PCI DSSの普及を目的に2006年9月に国際クレジットカード・ブランド大手5社が中心となって設立された団体です。PCI SSC会員は、ビザ・インターナショナルやマスターカードといった「国際カードブランド会社」をはじめ、国際カードブランド会社からライセンスの供与を受けてクレジットカードを発行する「イシュア（Issure）」、加盟店開拓をビジネスとする「アクアイアラ（Acquirer）」、カード決済を利用する「加盟店」（小売店など）やPCI DSSへの準拠性を監査する監査会社「QSA（Qualified Security Assessor）」、PCI DSSの要求にしたがって脆弱性検査を行う検査会社「ASV（Approved Scanning Vender）」、クレジットカードのオーソリ端末を認証審査する「PED Lab（Pin Entry Device Lab）」、さらにPCI DSSへの準拠を指導するコンサルティング会社やPCI DSSの要求事項を実現するためのセキュリティ製品ベンダーなど多種多様な企業で構成されています。

　こうした企業のうち、参加された企業の中から日本人にも馴染み深い企業を一部ご紹介しておきましょう。インテルやAT&T、マイクロソフトといったIT系、L.L.Beanやウォルマートといった流通系、そのほかノースウエスト航空やウォルトディズニー、ニューヨークタイムズ、エクソンモービルなど名だたる企業が名を連ねています。PCI SSCは設立からわずか2年ですが、総会前夜に開催されたレセプション・パーティは、数百人の参加者で賑わっていました。

　今回の総会で発表されたPCI SSCの現時点での規模は、次の通りです。

項目	規模
PCI SSCに加盟している企業数	500社
QSA(Qualified Security Assessor)	164社
QSA監査有資格者	1,000名
QSA監査有資格者のうちペイメント・アプリケーション・システムの審査が行えるPA-QSAの有資格者	100人
ASV（Approved Scanning Vender）	147社
PED Lab（Pin Entry Device Lab）	8社
PED認証製品	93メーカー、249製品

　PCI SSCは、委員会方式の運営が行われていますが、実質的にマネジメントしているのはゼネラルマネジャーのボブ・ロッソ（Bob Russo）氏です。米国でもPCI DSSの普及の妨げになっている最大の要因がQSAの絶対的な不足にあるといわれる中、短期間に世界的な規模の団体に成長したことは、ボブの功労であるとともに、PCI DSSの仕組みが社会的に求められている1つの証拠ではないでしょうか。600名を越える年次総会の参加者にボブは、終始上機嫌だったのが印象的でした。