PCI DSS
●PCI DSS (Payment Card Industry Data Security Standard)とは、クレジットカードのセキュリティ国際基準です。日本は先進国の中でクレジットカードの安全対策がかなり遅れており、国際犯罪組織の格好のターゲットになっている状態です。
そのため2020年までにこれを改善しようと、国の指導によりすべての加盟店などカード情報取扱い事業者は、カード情報を保持しないか、保持するのであればPCI
DSS準拠が求められています。
●日本にはPCI DSSの専門団体として、日本カード情報セキュリティ協議会(JCDSC)があり、私は2009年の設立時からこの協議会の事務局を担当し、現在は事務局長を務めています。
すべてのカード事業者に法的義務
●改正された割賦販売法が、2018年6月1日に施行されました。これにより、カード会社だけでなく加盟店を含めた、すべてのクレジットカード取り扱い事業者は、カード情報の安全管理義務を負います。
具体的なプログラムとして経済産業省では、2015年からカード取扱い業務を行う主な事業者を招集して、「クレジット取引セキュリティ対策協議会」を立ち上げました。
そして2016年2月に「実行計画2016」が、この協議会の決議を踏まえて公表されました。その後2017年から毎年のバージョンアップが行われ、2020年3月から「実行計画」は「クレジットカード・セキュリティガイドライン」となりました。
こうしたガイドラインは、クレジットカードを取り扱う主要な業界が合意して策定したものです。
さらに改正割賦販売法では、このガイドラインが法令の実施基準に位置づけられていますので、ガイドラインの遵守は法令上の義務となっています。
・「実行計画2016」を承認した、対策協議会の総会 (2016.2.23・明治記念館)
カード情報非保持かPCI DSS準拠か
●PCI DSSは、国際的にはカード情報を取り扱うすべての事業者が順守するものですが、日本の「実行計画」では緩和しています。加盟店の場合はカード情報を非保持にするのであれば、PCI
DSS準拠までは求めないことにして、加盟店が取り組みやすいルールにしています。
いっぽうカード会社やPSP(決済代行会社)の場合は、カード情報を持たないのでは仕事になりませんから、必ずPCI DSSに準拠しなければなりません。
PCI DSSにはどのようにすれば準拠できるか、その知識や方策を提供するための協力団体として、JCDSCが実行計画の中に位置づけられました。
JCDSCにはPCI DSSの認証審査機関(QSA)や各種の脆弱性検査会社、セキュリティベンダーなどが多く参加しており、実行計画の要請に応えて、PCI
DSSセミナーの開催や準拠への参考資料の提供、個別の相談への対応などの活動を行っています。
・JCDSC主催のカードセキュリティフォーラム2024。(会場は有楽町の東京国際フォーラム 2024.6.19)