クレジットカード会員情報の取り扱い事業者向けの統一セキュリティ基準であるPCI DSS。PマークやISMSが「マネジメントシステムが機能してPDCAサイクルがまわっている」ことを認証するものであるのに対し、PCI DSSでは具体的なセキュリティ対策が指定されるのが特徴である。
深刻化するカード決済情報の漏えい事件
PCI DSSについて私が聞いたのは、今から何年も前のことで当時は「クレジットカード会社の加盟店向けの統一的なセキュリティ基準ができるらしい」くらいの認識であまり興味を持っていなかった。また、当時はセキュリティ対策に対するオーソドックスな手法は確立しておらず、「パッチを適用しなければいけないが実際無理だよね」「SQLインジェクションっていうのがあるらしいね」などという会話が普通に行われていた。
しかし、あれから何年も経ち、SQLインジェクションによるカード決済情報の漏えいの被害の深刻化、大手通販サイトの一加盟店からの情報漏えいなど、ネットユーザーの不安が払拭される気配はない。
日本独自のセキュリティ事情
一方、日本独特の情報セキュリティ関連の事情としては、Winnyに代表されるP2PソフトやP2Pソフトが暴露ウイルスに感染したことによる情報放流が多発しており、その対策として「自宅PC」や「業務委託先PCの管理監督」についていよいよ本格的に対策が始まってきた。これは、今まで情報セキュリティレベルに問題があることはわかっていても手を出しにくい、出したくなかった分野にも対策を講じる機運が高まってきた、ということができる。
これまでは自社のセキュリティ対策を真面目に行う一方で、業務委託先には書面で確認することでよしとしてきた「体裁だけのセキュリティ対策」から、「本当にやっているのか?」「どれくらい何をやっているのか?」などと、一歩踏み込んだ管理監督の動機が高まってきた。
この記事は参考になりましたか?
- IT Compliance Reviewスペシャル連載記事一覧
- この記事の著者
-
三輪 信雄(ミワ ノブオ)
日本の情報セキュリティビジネスの先駆けとして事業を開始し、以降情報セキュリティ業界をリードしてきた。ITセキュリティだけでなく物理セキュリティについても知見があり、技術者から経営者目線まで広い視野を持つ。政府系委員も数多くこなし、各種表彰、著書・講演も多数。2009年から総務省CIO補佐官を務める。
S&J株式会社 代表取締役※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です
この記事は参考になりましたか?
この記事をシェア