深刻化するカード決済情報の漏えい事件
PCI DSSについて私が聞いたのは、今から何年も前のことで当時は「クレジットカード会社の加盟店向けの統一的なセキュリティ基準ができるらしい」くらいの認識であまり興味を持っていなかった。また、当時はセキュリティ対策に対するオーソドックスな手法は確立しておらず、「パッチを適用しなければいけないが実際無理だよね」「SQLインジェクションっていうのがあるらしいね」などという会話が普通に行われていた。
しかし、あれから何年も経ち、SQLインジェクションによるカード決済情報の漏えいの被害の深刻化、大手通販サイトの一加盟店からの情報漏えいなど、ネットユーザーの不安が払拭される気配はない。
日本独自のセキュリティ事情
一方、日本独特の情報セキュリティ関連の事情としては、Winnyに代表されるP2PソフトやP2Pソフトが暴露ウイルスに感染したことによる情報放流が多発しており、その対策として「自宅PC」や「業務委託先PCの管理監督」についていよいよ本格的に対策が始まってきた。これは、今まで情報セキュリティレベルに問題があることはわかっていても手を出しにくい、出したくなかった分野にも対策を講じる機運が高まってきた、ということができる。
これまでは自社のセキュリティ対策を真面目に行う一方で、業務委託先には書面で確認することでよしとしてきた「体裁だけのセキュリティ対策」から、「本当にやっているのか?」「どれくらい何をやっているのか?」などと、一歩踏み込んだ管理監督の動機が高まってきた。
