PCI DSSに準拠する意義

PCI DSSに準拠すると、次のようなメリットが挙げられます。 まず、対策のベースラインが具体的に示されており、PCI DSSの要件に対応することで、カード会員データが不正利用されるリスクを低減できます。

加盟店ではPCI DSSへ準拠していることで、情報流出による不正利用が発生してしまった場合でも、国際カードブランドやカード会社からのペナルティが免責されることもあります。逆にいえば、PCI DSSに準拠していないと、事故発生時にカード会社からペナルティを受ける可能性もあります。

情報流出事故が発生した場合には、原因の究明や対策、ユーザーへの損害賠償などに莫大な費用がかかるほか、ブランドの失墜や銀行の信頼をなくすなど大きな打撃を受けることになるので注意が必要です。

また最近ではクレジットカードを扱わない一般的な企業や組織からも参考となるセキュリティー基準として注目を集めており、準拠する動きもあります。これはPCI DSSが具体的なセキュリティー実装を定めているため、セキュリティー対策の目安として活用できる点を評価されてのことです。

2020年に向けた新たな動き

これまで義務ではなかったPCI DSSですが、東京オリンピック・パラリンピックが開催される2020年までに準拠が求められています。

2016年2月、カード業界の主要団体が設置するクレジット取引セキュリティ対策協議会では、クレジットカード取引に関係するカード会社や加盟店などが取り組むべき実行計画を公表しました。このなかでICカード化や、不正使用対策にくわえて、PCI DSSの準拠について言及されています。

具体的には、カード会社とeコマースを展開する加盟店は2018年3月末までに準拠しなければなりません。また対面でカードを利用する加盟店に関しても、2020年3月末までにカード情報を非保持とするか、保持する場合はPCI DSSへの準拠を完了しているか選択が求められます。

2016年4月にPCI DSS 3.2にアップデート

PCI DSSは、一度準拠すればよいものではありません。最新のIT技術やセキュリティー動向を踏まえ、定期的にアップデートされます。

2016年4月に「3.2」へアップデートされました。本来の予定では、2016年11月に「4.0」となる予定でしたが、PCI SSCでは、PCI DSSが成熟した規格であるとして、今後はマイナーアップデートを重ねていく見込みです。

参考までに「3.2」の変更点を見ると、カードデータの管理者によるアクセスや、リモートアクセスを行う場合、ログイン時にIDやパスワード以外の別の認証要素を組み合わせる「多要素認証」を導入することを要件に追加しました。

また通信の安全を保つため、SSLやTLSといった暗号化技術が使われますが、PCI SSCは脆弱性が指摘されている「SSL」および初期の「TLS」についても移行を求めており、可能であれば最新の「TLS 1.2」へアップデートするよう推奨しています。その移行は、当初、「3.1」で2016年6月を期限としましたが、現場の状況を踏まえて延長され、加盟店は2018年6月30日までに移行する必要があります。

一方サービスプロバイダーに関しては、2016年6月30日までに「TLS 1.1」、あるいは同バージョン以降を提供しなければなりません。またペネトレーションテストの定期的な実施など、新たな要件や補足条項が追加されました。

このように、クレジットカード業界におけるセキュリティー要件を定めたPCI DSSは、IT技術の進展や脆弱性に関する動向などを踏まえて、定期的にアップデートされています。クレジット業界はもとより、同様に安全なデータ管理が求められるシステム担当者にとっても、その動向はセキュリティー対策のベースラインを考える上で、参考となる資料と言えるでしょう。