PCI DSSとは何か

　PCI DSSとは、クレジットカードの会員データを安全に取り扱うことを目的として策定された、クレジットカード業界のセキュリティ基準である。

　クレジットカードブランド5社（American Express、Discover、JCB、MasterCard、VISA）が共同で設立したPCI SSC（PCI Security Standards Council：PCI DSSの開発、管理、教育、および認知を担当する組織）によって運用、管理されている。

　PCI DSSの準拠対象には、クレジットカード会社、決済代行会社などのクレジットカード情報を取り扱う事業者が該当するが、加盟店についても年間クレジットカード売上件数および取引形態によっては対象となる。

　PCI DSSはクレジットカード業界における民間基準として策定されたものだが、日本では2011年3月にJCA（Japan Consumer Credit Association：一般社団法人日本クレジット協会）が発行した「日本におけるクレジットカード情報管理強化に向けた実行計画」において、クレジットカードの情報保護基準をPCI DSSに置くことが公式に発表された。

　その中では、クレジットカードによる年間売上件数や年間発行枚数に応じてレベルごとにPCI DSS準拠の対応期限（取引形態に応じて2012年9月から2018年3月にかけて年月が設定されている）が示されている。

　また、経済産業省の「クレジットカード決済の健全な発展に向けた研究会」が2014年7月に発表した中間報告書では、2020年の東京オリンピックに向けて『世界で最もクレジットカード利用が安心・安全な国　日本』というキーワードのもと、PCI DSSへの準拠は効果的な取り組みであると記載されている。

　直近では、2015年3月に経済産業省が設立した「クレジット取引セキュリティ対策協議会」の活動方針の中に『カード情報の保護について』としてPCI DSS準拠に関する内容が含まれている。

PCI DSS準拠の概要と課題

　上記のとおり、JCAの実行計画において対応期限が示されており、経済産業省からは研究会や協議会を通じてPCI DSSへの準拠について言及されているが、実際にはクレジットカード業界のすべての企業が適切にPCI DSSに準拠できているわけではないのが現状だ。

　そもそもJCAの実行計画に従わなかった場合の具体的なペナルティが不明確なため、切迫感がなく、PCI DSSへの準拠に向けて取り組まないまま時間が過ぎてしまった企業もあるのではないだろうか。

　PCI DSSに準拠するためには、12の要件（表1）があり、その要件に合致するようにルールを変え、システムを改修し、運用すれば良い。言葉で言うとそれだけではあるが、実際に取り組みを開始すると容易には進まない。

表1　PCI データセキュリティ基準の概要
分類	要件番号	要件
安全なネットワークとシステムの構築と維持	1	カード会員データを保護するために、ファイアウォールをインストールして維持する
	2	システムパスワードおよびその他のセキュリティパラメータにベンダ提供のデフォルト値を使用しない
カード会員データの保護	3	保存されるカード会員データを保護する
	4	オープンな公共ネットワーク経由でカード会員データを伝送する場合、暗号化する
脆弱性管理プログラムの維持	5	すべてのシステムをマルウェアから保護し、ウィルス対策ソフトウェアまたはプログラムを定期的に更新する
	6	安全性の高いシステムとアプリケーションを開発し、保守する
強力なアクセス制御手法の導入	7	カード会員データへのアクセスを、業務上必要な範囲内に制限する
	8	システムコンポーネントへのアクセスを識別・認証する
	9	カード会員データへの物理アクセスを制限する
ネットワークの定期的な監視およびテスト	10	ネットワークリソースおよびカード会員データへのすべてのアクセスを追跡および監視する
	11	セキュリティシステムおよびプロセスを定期的にテストする
情報セキュリティポリシーの維持	12	すべての担当者の情報セキュリティに対応するポリシーを維持する
※PCI データセキュリティ基準より引用

　要件を1つ取っても全社的に対応する必要があるのか、個々のシステムで対応すればよいのかを読み解く必要がある。そして、対応する箇所を決定しても、複数部署の思惑の違いや、リソースなどの事情が入り交じるため、部署間でコンフリクトが発生し、対応の具体的な内容を定めることも一筋縄ではいかない。

　たとえば、PCI DSSの要件10に記載されているログの取得であれば、PCI DSS対応を推進する企画部と、ログ収集システムを運用する運用部では、システムの仕様などの事情もあり、取得対象のコンポーネントや、イベントおよびエントリの内容について、認識にギャップが生じることが考えられる。

　また一般的にはログの収集側と、取得および提出側の両システムにおいて改修が必要になるため、金銭的、および人員的なリソースについても認識にギャップが生じることが多い。

　JCAの実行計画において、クレジットカード会社や一部加盟店の対応期限は2018年3月であり、期限までまだ3年弱あるが、システムの現状を調査し改修内容を定め、設計して実際に改修する期間を考慮すると、決して十分な時間があるわけではない。また、冒頭で述べた2020年の東京オリンピックに向けても残り5年となっている。

PCI DSS準拠をスムーズにするための3つのポイント

　このような状況の中、PCI DSS準拠をスムーズに対応するためのポイントとして、「体制作り」「自社の状況に合う対策」「関係部署との対話」の3つについて解説しよう。

ポイント1：体制作り

　PCI DSS準拠に限らず、企業において取り組みがスムーズに進まない理由の1つに、体制が整っていないことが挙げられる。

　企画部が先頭に立ってPCI DSS準拠対応を進めようとしても、開発部や運用部のように実際にシステムを取り扱う現場の部署と、PCI DSSの要件に対する認識や、準拠に向けた意欲にギャップがあり、中々対応が進まないケースや、部署ごとの予算が縦割りで定められるため、複数部署で共同実施する対策に充てる予算を確保することができず、暗礁に乗り上げてしまうケースがある。

　このような状態に陥らないためには、部署横断的なステアリングコミッティを立ち上げ、座長には取締役や執行役員のような上級管理職に就いてもらうことで、対策の推進力、強制力を働かせることができる。また、PCI DSS準拠対応を実施する現場側においても、PMO（Project Management Office：プロジェクト推進組織）を設置することで、各部署の状況を考慮した部署間での横串の連携が期待できる。

【次ページ】外部コンサルタントを評価する3つのポイント