@IT 情報漏えい対策セミナーレポート
情報漏えい対策を通じて「守るべきもの」とは
吉村 哲樹
2010/7/12
「改正割賦販売法」によるカード情報取り扱いルールの強化
クレジットカード情報漏えい対策のガイドラインとしては、前述したPCI DSSが国際基準として知られているが、日本の国内法もクレジットカード情報取り扱いのルールを強化する方向に進んでいる。2009年12月に施行された「改正割賦販売法」では、クレジットカード番号の不正提供、不正取得をした者に対する刑事罰を新たに定めている。経済産業省では同法の施行規則を公表しているが、実際の具体的なルールとガイドライン作りは社団法人日本クレジット協会に委ねられている。
ただし経済産業省は、特にECサイトに関しては安全性を強化するよう個別に要請しており、日本クレジット協会では現在、そのためのガイドラインを策定しているところだという。森氏も、「ECサイトでは、カード番号と有効期限と氏名を入力するだけで買い物ができてしまう。本来は暗証番号も含めた認証手段を備えるべきだが、業者と利用者の利便性を優先させるため、まだ実現していない」と、ECサイトにおけるクレジットカード情報の取り扱いの問題点について指摘する。
しかし、先に個人情報保護法について経済産業省が発表した「信用分野のガイドライン」では、パスワードの最低文字数を決めることや、一定回数以上ログインに失敗した場合はIDを停止するべきといった、かなり具体的なルールに言及している。この内容を参照しながら、さらにPCI DSSの内容も加味すれば、現状でも実効性のあるルール作りは可能だと森氏は言う。
 |
| 図4 日本におけるカード情報保護施行規則の流れ |
クレジットカード情報保護の国際基準「PCI DSS」
PCI DSSは、VISA、MasterCard、JCBなど、世界のクレジットカードブランド大手5社によって2004年に策定された、クレジットカード情報保護のためのガイドラインである。欧米のクレジットカード業界ではすでに広く普及しており、日本でも2007年ごろから徐々に認知されるようになった。その内容は6つの項目と12の要件から構成されるが、満たすべき要件が非常に具体的に規定されているのが特徴だ。そのため、クレジットカード業界以外の企業にとっても非常に参考になると森氏は言う。
「例えばパスワードに関する要求事項では、その字数や有効期間など、実に事細かに規定されている。一方、例えば多くの日本企業が取得しているISMSには、具体的な規定はほとんど記されていない。そこで、PCI DSSの規定を基準にして、『では、クレジットカード情報を扱っていないわが社では、どのレベルまでやるか』というように考えていくことができる」(森氏)
なお、クレジットカード情報を扱う企業に対するPCI DSSの適用レベルは、その企業の年間取引総件数に応じて「大規模(レベル1)」「中規模(レベル2、3)」「小規模(レベル4)」の3段階に分けられている。欧米やアフリカでは、すでにそれぞれのレベルに応じてPCI DSS準拠の監査が実施されており、その結果、準拠を確認できない加盟店管理会社(アクワイアラ)に対して罰金が課せられるケースが出てきているという。
日本国内においては、レベル1の大規模企業は、VISAが2010年9月末、MasterCardが2011年6月末までにPCI DSSに準拠完了することを求めている。また、PCI DSSの策定作業を担っている国際協議会「PCI SSC」では、2010年の重点対象国の1つとして日本を挙げており、2010年5月にはゼネラルマネジャーのボブ・ルッソ氏も来日している。こうしたことから、今後日本のクレジットカード業界においてもPCI DSSの普及が加速することが予想される。しかし森氏は、世界基準であるPCI DSSに準拠することの本当の意義を次のように説明する。
「内部統制への対応では、先に米国におけるSOX法対応の混乱があり、その轍を踏まないようにと金融庁が日本独自の方針を打ち出した。しかしクレジットカードに関しては、国境をまたいで世界中で同じ使われ方をされている。従って、利用者と企業を守るためには、どうしても世界基準に準拠する必要がある」
最後に同氏は、2015年にも日本の上場企業に強制適用されるのではないかといわれているIFRS(国際会計基準)を引き合いに出しながら、以下のように講演を締めくくった。
「IFRSの特徴である『原則主義』は、今後は日本でも文化として定着していくのではないかと考えている。クレジットカード情報保護に関しても、これまでの『細則主義』の考え方に立って『PCI DSSは法律では規定されてないではないか!』『罰則規定がどこにあるのだ!』と細かいことを持ち出すのではなく、常に原則に立ち返って、国民の安全を守るためにはどういう施策をとるのがカード情報取り扱い事業者の責務であるのか、というように考えたい。そしてこうした考え方は、とりもなおさず企業のCSRにもつながっていくものだ」。
| 【関連記事】 @IT セキュリティソリューション Live! in Tokyoレポート PCI DSSは“北極星”に向かうためのツールだ! http://www.atmarkit.co.jp/fsecurity/special/153pcidss/pcidss01.html |
 |
3/3 |
| Index | |
| 情報漏えい対策を通じて「守るべきもの」とは | |
| Page1 「IT主体」から「人主体」のセキュリティ対策へ 業務プロセスとセキュリティ対策のスムーズな連携を |
|
| Page2 さまざまな施策で「社員を守る」ことが「会社を守る」 脅威に晒されるクレジットカード情報を守るために |
|
 |
Page3 「改正割賦販売法」によるカード情報取り扱いルールの強化 クレジットカード情報保護の国際基準「PCI DSS」 |
 |
Security&Trust記事一覧 |
- Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ (2017/7/24)
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。 - WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に (2017/7/11)
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。 - Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは (2017/7/10)
代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する - 侵入されることを前提に考える――内部対策はログ管理から (2017/7/5)
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃(APT:Advanced Persistent Threat)対策の観点から考える。
 |
|
|
|
|
