PCI DSSとは



今月は、CPEポイント集中取得月間である。


本日の午後は、神保町で第5回データベース・セキュリティ・コンソーシアム(DBSC) セミナーに参加。特に、基調講演2の、「オンサイト監査から見えるPCIDSS」が非常に参考になった。PCI DSSについて、講演後に講師の先生から直接伺ったことも含め、メモしておく。


「PCI DSS」って、要するに何?


PCI DSSは、クレジットカード情報や決済情報等のセキュリティを保護するため、クレジットカードの加盟店やサービスプロバイダ(決済代行事業者等)が守るべきセキュリティ基準を定めたものである。
セキュリティ基準は、Visa、MasterCard、American Express、JCB、Discoverといったペイメントブランドが設けた審議会(PCIセキュリティ基準審議会(米国))によって定められた。米国では、マサチューセッツミネソタ、テキサス、カリフォルニア、ネバダ州において、PCI DSSの遵守が州法で義務化されているケースがある。
日本国内では、2010年2月時点では法的な義務はない(はず)。ただ、2008年6月11日に日本の国会で可決された改正割賦販売法において、個人情報保護法ではカバーされないクレジットカード情報の保護のために必要な措置を講じることが義務付けられたらしく、内部統制の時のCOBITのように、改正割賦販売法への対応としてPCI DSSへの取り組みを行おうという動きが、今年盛んになるかもしれない。
なお、PCI DSSは、Payment Card Industry Data Security Standardの略記。


何がうれしいんだっけ?


「クレジットカード利用者」、「加盟店、サービスプロバイダ」、「クレジットカード会社」のそれぞれにメリットがある(はず)。
クレジットカード利用者にとっては、セキュリティ基準に基づいてセキュリティ対策が行われることにより、自身のクレジットカード情報や決済情報が、より安全な状態で取り扱われる可能性が高くなる。ただし、セキュリティ対策コストは、回りまわってクレジットカード利用者が負担しなければならないので、注意が必要。
加盟店、サービスプロバイダにとっては、対応すべきセキュリティレベルの指標が、ISO27001等の基準と比べると具体的に示されているため、比較的セキュリティ対策が検討しやすいと言える。


About the PCI Data Security Standard (PCI DSS)
https://www.pcisecuritystandards.org/security_standards/pci_dss.shtml
Download the Specification→Accept→Japanese: pdf


ただし、業界や会社によっては、これ以外にもISO27001やプライバシーマーク、金融庁や経産省のガイドライン等にも網羅的に対応する必要があるため、悪夢が増える結果となる可能性が高いので、注意が必要。
クレジットカード会社にとっては、クレジットカード情報の漏えい事件が頻発すれば業界や決済システム全体の信頼を損ねることにつながるため、対策を広く推奨する必要がある。また、場合によっては情報漏えい事件後、クレジットカード会社が訴訟の対象となるリスクもあるため、クレジットカード会社としてはPCI DSSは啓蒙も含め、積極的に推進していきたいものと想定される。


どうやって準拠すればいいの?


原則として、加盟店やサービスプロバイダは、PCI DSS基準(12要件204項目)に基づき、セキュリティ対策を実施しなければならない。PCI DSSは米国の審議会によって定められたものであるが、日本の加盟店等も対象となる。実際はもっと細分化できるはずだが、PCI DSS準拠に向けた初回の取り組みのステップは、大まかに言うと以下のようなものになるはず(違っているかも)。

  1. クレジットカード会社は、加盟店、サービスプロバイダに対して、PCI DSS準拠を要請する。
  2. 加盟店、サービスプロバイダは、公開されているPCI DSSの基準や、自己問診票の回答結果を基に、対策を行う。
  3. 加盟店、サービスプロバイダは、認定セキュリティ評価期間(QSA)や認定ネットワークスキャニングベンダー(ASV)に、監査を依頼し、監査を受ける。
  4. 加盟店、サービスプロバイダは、監査結果を受け、未準拠と指摘された項目への対応を行う。
  5. 加盟店、サービスプロバイダは、再度QSAやASVの監査を受け(るのかな?)、問題なければ「準拠証明書」を受け取る。
  6. 加盟店、サービスプロバイダは、クレジットカード会社に対して、監査報告や準拠証明書を添えて、PCI DSSへの準拠性を報告する。



留意点としては、上記のような外部監査を含んだ準拠対応は、年間のクレジットカード取引件数が数百万件を超える加盟店を対象としていること。年間のクレジットカード取引件数が数千件程度のEコマースサイト等では、ここまでする必要はない(「推奨」に留まる)。


参考:
VISA - 加盟店のバリデーション要件
http://www.visa-asia.com/ap/jp/mediacenter/pressrelease/NR_JP_131108.shtml
JCB - JCBが推奨する診断プログラム受診の目安
http://www.jcb-global.com/jdsp/index.html


あの・・・金かかりそうなんで、やりたくないんですけど。そうするとどうなりますか?


カードブランドによって、対応は異なる。
VISA Internationalの場合、「レベル1加盟店(Visaカードの取引件数が年間600万件を越える加盟店(全チャネル)、もしくはVisaの特定の地域でレベル1と認定される加盟店)」は、2010年9月30日までにPCI DSSに完全準拠しないと、加盟店に対して罰金等も含む何らかのリスクコントロールを課す、らしい。MasterCardも、PCI DSS非遵守の加盟店にはペナルティとして罰金を課すことになっている、らしい。
これは感想だが、本当にこんな対応が日本でもできるのだろうか。力関係で言うと、加盟店はカード会社にとって「お客様」にあたるはずであり、こんな強気の対応ができるとは到底思えない。


ちなみに、日本ではどれぐらい普及してるんだっけ?


正確な数字ではないが、講師の先生が把握されている範囲だと、PCI DSSへの準拠対応が完了している事業者は、数十事業者程度に留まっているらしい。事業者は、やはりネット上の決済事業を行うような事業者が中心となっているそうだ。


「Yahoo! ウォレット」がセキュリティ基準「PCI DSS」認定を取得
http://japan.internet.com/busnews/20081107/10.html
楽天市場」の決済プロセスがECサイトで初めて完全準拠 -クレジットカード業界の情報セキュリティー基準「PCIDSS」-
http://corp.rakuten.co.jp/newsrelease/2008/0110.html
BSIジャパン審査初の初回審査で「PCIDSS」認定を取得(ソフトバンク・テクノロジー
https://www.netsecurity.ne.jp/1_14723.html
GMO Payment Gateway - PCI DSSに完全準拠した安全なクレジットカード決済
http://www.gmo-pg.com/service/reason/pcidss.php
クレジットカード データセキュリティ基準「PCI DSS」最新版1.2の対応ならびにビザ・ワールドワイドの定めるプログラム「Visa Registry of Service Providers Program」の更新完了に関するお知らせ
http://www.sbigroup.co.jp/news/pr/2009/1218_2890.php


12要件204項目て・・・ほんとにみんな完全準拠できてるの?


PCI DSSは、ISO27001等の基準と比べると必要なセキュリティ対策が具体的に示されているのはよいのだが、逆に詳細に書かれすぎて困るケースが多いという。
例えば、講師の先生から伺った事例だと、PCI DSSでは「すべてのコンソール以外の管理アクセスを暗号化する」となっているが、IOSの古いCiscoルータ等だと、telnetでしかアクセスできないケースがあるらしく、監査の際によく問題になるらしい。
PCI DSSに準拠するためには、当然ながら認定セキュリティ評価期間(QSA)から「12要件204項目に全部準拠してます」というお墨付きをもらう必要があるため、このような基準と実運用とのギャップが生じた場合は、やはり「合理的な代替案」を都度考えるしかないとのこと。telnetの件だったら、極端な話、運用がまわるんならシリアルでしかアクセスしないとかあるけど、色々と知恵を絞って対応しているらしい。




いや、これはまた大変な話だ。セキュリティベンダーは、Visa InternationalのPCI DSS完全準拠期限(2010年9月30日まで)を見据えて、きっと昨年ぐらいから随分営業活動されてるんでしょうね。