[市場動向]

PCI DSSの準拠コストが低減、カード加盟店の準拠事例も増加

2011年1月24日(月)

 セキュリティ対策の関連組織、PCI SSC PO Japan連絡会の山崎文明会長は2011年1月24日、PCI DSS準拠費用の削減につながる技術として、標準ではないものの追加ガイダンス文書が公開される5つの技術について、都内で説明した。説明会は、2007年4月からPCI DSS準拠支援サービスを提供しているネットワンシステムズが開催した。

PCI SSC PO Japan連絡会の会長を務める、ビジネスアシュアランス代表取締役の山崎文明氏
写真 PCI SSC PO Japan連絡会の会長を務める、ビジネスアシュアランス代表取締役の山崎文明氏

PCI DSSの追加ガイダンスが作られる5つの技術は、(1)トークン化、(2)カードのICチップ化、(3)暗号化、(4)仮想化、(5)ワイヤレス。このうち、(2)カードのICチップ化と(5)ワイヤレスの2つは、すでにガイダンス文書が公開済み。近いうちに、残りの3つの技術、特に、注目を集めている技術として、(1)トークン化に関する文書が登場する見込み。

トークン化とは、Webシステムなどの情報システム上で管理するクレジット・カード番号(16桁)を、カード番号と1対1で対応する乱数に置き換える手法。乱数の形式はカード番号と同一であるため、情報システム上では乱数をカード番号の替わりに使うことができる。カード番号を管理する必要がなくなるため、PCI DSSの審査対象から外れる、というメリットがある。

なお、PCI DSSとは、クレジット・カード番号情報を取り扱う業界(カード会社やカード加盟店)に向けた、情報システムのセキュリティ要件を記述したガイドラインである。今回の説明会では、PCI DSSの最新動向として、制度面やガイドラインの内容、新技術などの側面において、以前よりも準拠費用が緩和されつつあることを示した。改定サイクルも、2年に1度から3年に1度へと延長されている。

2011年以降、カード加盟店の準拠事例も増加

現状、国内のPCI DSS準拠事例は、先行する米国や欧州と比べると少ないのが実情。山崎氏が参考数値として挙げた策定団体(PCI SSC)への参加企業数は、北米が454社、欧州が89社、アジア太平洋が32社。米国には、46州がデータ漏えいに関する法律を施行するなど、データ漏えいに関する訴訟リスクが大きいという事情もある。米国流通業が2009年にPCI DSS準拠のために投資した費用は10億ドルに達するという。

国内でも、2010年以降にはカード会社の準拠事例が増えており、2011年以降にはカード加盟店による準拠事例が増えていくと山崎氏は見る。同氏が代表取締役を務めるビジネスアシュアランスが支援した直近の事例では、「DMM.com」を運営するデジタルメディアマートが、2010年12月にPCI DSSに準拠している。

関連記事

PCI DSSの準拠コストが低減、カード加盟店の準拠事例も増加 セキュリティ対策の関連組織、PCI SSC PO Japan連絡会の山崎文明会長は2011年1月24日、PCI DSS準拠費用の削減につながる技術として、標準ではないものの追加ガイダンス文書が公開される5つの技術について、都内で説明した。説明会は、2007年4月からPCI DSS準拠支援サービスを提供しているネットワンシステムズが開催した。

PAGE TOP