PCI DSS普及の仕組み
カード情報の漏えいを防止し、クレジットカード犯罪を予防することは、社会インフラとして確立しているクレジットカード決済機能を崩壊させないために必要不可欠であることは疑いの余地がない。
ただ、PCI DSSへの準拠には多額のシステム投資が必要であり、毎年の監査費用という新たなコスト増加要因があり、社会的な意義だけで普及するとは思えない。ここからは、PCI DSSが普及する仕組みについて考えてみたい。
普及の鍵をにぎるアクワイアラ
PCI DSSの普及を求めているのは国際カードブランド会社である。一方、実際にカード情報を扱うのは小売店(加盟店)である。
ところが、国際カードブランドと加盟店との間には、直接の契約関係がないことから、国際カードブランドは、加盟店に対する強制力を持ち合わせていない。ここにPCI DSSの普及が進まない大きな理由がある。
国際カードブランドと直接の契約関係にあるのは、加盟店を開拓し、その決済金額に応じて手数料収入を受け取るアクワイアラという業者である。したがって、国際カードブランドは、アクワイアラに対して、自らが開拓した加盟店にPCI DSSへの準拠を促すよう施策を講じている。その一例が、罰金制度の導入である。
VISAは、昨年11月にPCI DSS遵守の国際的な義務化に向けたタイムラインを発表している(http://www.visa-asia.com/ap/jp/mediacenter/pressrelease/NR_JP_131108.shtml)。
VISAは、アクワイアラに対し、レベル1/2加盟店が全磁気ストライプデータ、セキュリティコード又はPINデータを含むセンシティブなカード関連情報を取引認証後に保管していないことを確認、報告する期限を2009年9月30日としています。期限経過後、VISAは必要なリスク管理施策を実施します。例えば、レベル1/2加盟店が保管禁止データを保管していないことの証明書をアクワイアラがVISAに対し提出しなかった場合、罰金が科されることもあります。
VISAは、アクワイアラに対し、レベル1加盟店のPCIDSS完全遵守バリデーション完了の遵守証明書を提出する期限を2010年9月30日としています。2010年9月30日以降、Visaは必要なリスク管理施策を実施します。例えば、レベル1加盟店のPCI DSS完全遵守バリデーションが完了したことの証明書をアクワイアラが、VISAに対し提出しなかった場合には、罰金が科されることもあります。ただし、それ以前に設定された期限やリスク関連の実施プログラムがある場合には、その限りではありません。
ご覧のようにVISAは、不必要なカード情報の破棄やPCI DSS完全遵守を加盟店に促しているわけだが、期限が守られなければ罰金が科されるのは、加盟店ではなくアクワイアラである点に気付いて欲しい。
アクワイアラは、加盟店の指導が徹底できなかった場合、毎月1万ドルの罰金をVISAに支払わなければならない事態や最悪VISAから契約を解除されアクワイアラとしてのビジネスが行えないなどのリスクが想定される。
しかし、アクワイアラから見れば、加盟店はお客様であり、そのお客様に対して多大なセキュリティ対策費を強要できるのかというジレンマがある。強要することで加盟店を他のアクワイアラに奪われてしまうというリスクもあるのだ。
