SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

最新イベントはこちら!

Security Online Day 2025 春の陣(開催予定)

2025年3月18日(火)オンライン開催

Enterprise IT Women's Forum

2025年1月31日(金)17:00~20:30 ホテル雅叙園東京にて開催

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

EnterpriseZine(エンタープライズジン)

EnterpriseZine編集部が最旬ITトピックの深層に迫る。ここでしか読めない、エンタープライズITの最新トピックをお届けします。

『EnterpriseZine Press』

2024年秋号(EnterpriseZine Press 2024 Autumn)特集「生成AI時代に考える“真のDX人材育成”──『スキル策定』『実践』2つの観点で紐解く」

IT Compliance Reviewスペシャル

PCI DSS最前線~全米が注目するセキュリティガイドラインを俯瞰する(後編)

後編

PCI DSSの登場の背景から普及するための課題、さらに一般企業への応用までPCI DSSのすべてを解説する。

PCI DSS普及の仕組み

 カード情報の漏えいを防止し、クレジットカード犯罪を予防することは、社会インフラとして確立しているクレジットカード決済機能を崩壊させないために必要不可欠であることは疑いの余地がない。

 ただ、PCI DSSへの準拠には多額のシステム投資が必要であり、毎年の監査費用という新たなコスト増加要因があり、社会的な意義だけで普及するとは思えない。ここからは、PCI DSSが普及する仕組みについて考えてみたい。

普及の鍵をにぎるアクワイアラ

 PCI DSSの普及を求めているのは国際カードブランド会社である。一方、実際にカード情報を扱うのは小売店(加盟店)である。

 ところが、国際カードブランドと加盟店との間には、直接の契約関係がないことから、国際カードブランドは、加盟店に対する強制力を持ち合わせていない。ここにPCI DSSの普及が進まない大きな理由がある。

 国際カードブランドと直接の契約関係にあるのは、加盟店を開拓し、その決済金額に応じて手数料収入を受け取るアクワイアラという業者である。したがって、国際カードブランドは、アクワイアラに対して、自らが開拓した加盟店にPCI DSSへの準拠を促すよう施策を講じている。その一例が、罰金制度の導入である。

 VISAは、昨年11月にPCI DSS遵守の国際的な義務化に向けたタイムラインを発表している(http://www.visa-asia.com/ap/jp/mediacenter/pressrelease/NR_JP_131108.shtml)。

 

VISAは、アクワイアラに対し、レベル1/2加盟店が全磁気ストライプデータ、セキュリティコード又はPINデータを含むセンシティブなカード関連情報を取引認証後に保管していないことを確認、報告する期限を2009年9月30日としています。期限経過後、VISAは必要なリスク管理施策を実施します。例えば、レベル1/2加盟店が保管禁止データを保管していないことの証明書をアクワイアラがVISAに対し提出しなかった場合、罰金が科されることもあります。

 

VISAは、アクワイアラに対し、レベル1加盟店のPCIDSS完全遵守バリデーション完了の遵守証明書を提出する期限を2010年9月30日としています。2010年9月30日以降、Visaは必要なリスク管理施策を実施します。例えば、レベル1加盟店のPCI DSS完全遵守バリデーションが完了したことの証明書をアクワイアラが、VISAに対し提出しなかった場合には、罰金が科されることもあります。ただし、それ以前に設定された期限やリスク関連の実施プログラムがある場合には、その限りではありません。

 

  ご覧のようにVISAは、不必要なカード情報の破棄やPCI DSS完全遵守を加盟店に促しているわけだが、期限が守られなければ罰金が科されるのは、加盟店ではなくアクワイアラである点に気付いて欲しい。

 アクワイアラは、加盟店の指導が徹底できなかった場合、毎月1万ドルの罰金をVISAに支払わなければならない事態や最悪VISAから契約を解除されアクワイアラとしてのビジネスが行えないなどのリスクが想定される。

 しかし、アクワイアラから見れば、加盟店はお客様であり、そのお客様に対して多大なセキュリティ対策費を強要できるのかというジレンマがある。強要することで加盟店を他のアクワイアラに奪われてしまうというリスクもあるのだ。

次のページ
アメと鞭の政策に乗り出した米国

この記事は参考になりましたか?

  • Facebook
  • X
  • Pocket
  • note
IT Compliance Reviewスペシャル連載記事一覧

もっと読む

この記事の著者

山崎 文明(ヤマザキ フミアキ)

ビジネスアシュアランス株式会社 代表取締役社長
ネットワンシステムズ株式会社 フェローシステム監査技術者(経済産業省)
英国規格協会公認BS7799情報セキュリティ・スペシャリスト
大手外資系会計監査法人にてシステム監査に永年従事。システム監査、情報セキュリティ、個人情報保護に関する専...

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/1768 2009/09/11 07:00

Job Board

AD

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング