EnterpriseZine(エンタープライズジン)

EnterpriseZine(エンタープライズジン)

テーマ別に探す

後編 PCI DSS最前線~全米が注目するセキュリティガイドラインを俯瞰する(後編)

  2009/09/11 07:00

アメと鞭の政策に乗り出した米国

 したがって、PCI DSSへ準拠しようとする加盟店に対する動機づけが重要になってくる。

 この点に関して、米国では2007年2月のマサチューセッツ州を皮切りにミネソタ州(2007年4月)、テキサス州(2007年5月)、カリフォルニア州(2007年5月)と立て続けに免責条例が施行されている。

 加盟店がカード情報漏えい事件・事故を起こしたその結果として、クレジットカードの不正使用が行われた場合、損害を被るのは、クレジットカードの発行者(イシュアー)である商業銀行をはじめとする金融機関である。不正使用されたカードホルダーへの返金以外にカードの再発行コストや再発行カードがカードホルダーに到着するまでの決済停止に伴う機会損失など被害額は莫大である。

 この損害を招いた責任はカード情報の漏えい事件・事故を起こした加盟店にあるとして、イシュアーが加盟店に対して損害賠償を求める訴訟を起こすことがあるとすれば、加盟店にとっては命取りになりかねない非常に大きな経営リスクである。

 全米各州で可決成立した免責条例は、PCI DSSへの準拠を前提として加盟店に損害賠償の訴追を免れるという非常に大きなメリットをもたらす条例であり、加盟店経営者にとって平時からPCI DSSに準拠することが保険になるとの判断を促す材料となったことは言うまでもない。

PCI DSSの課題

 だが、残念なことに米国で現在、最も関心を集めているPCI DSSにまつわる話題は、QSAという監査制度への不信感だ。

 QSA(Qualified Security Assessor)とは、PCI DSSの発行元であるPCI SSC(PCI Security Standard Council)が認定したPCI DSSへの準拠性を監査し、証明する有資格者を指す。QSAには、PCI DSSの要求事項がすべて実装されていることを証明するために丹念な事実確認が求められており、決して被監査企業の担当者からの回答を鵜呑みにするような監査を行ってはならないと指導されている。

 こうした厳格とされているQSAの監査に疑問を持たざるを得ない事件が年初に発生している。


著者プロフィール

  • 山崎 文明(ヤマザキ フミアキ)

    ビジネスアシュアランス株式会社 代表取締役社長 ネットワンシステムズ株式会社 フェローシステム監査技術者(経済産業省) 英国規格協会公認BS7799情報セキュリティ・スペシャリスト 大手外資系会計監査法人にてシステム監査に永年従事。システム監査、情報セキュリティ、個人情報保護に関する専門家として情報セキュリティに関する政府関連委員会委員を歴任。主な著書に「PCIデータセキュリティ基準 完全対策」(日経BP社 監修)「すべてわかる個人情報保護」(日経BP社)、「情報セキュリティと個人情報保護 完全対策」(日経BP社)、「情報セキュリティハンドブック」(オーム社 共著)、「システム監査の方法」(中央経済社 共著)、「コンティンジェンシー・プランニング」(日経BP社 共著)、セキュリティマネジメント・ハンドブック(日刊工業新聞社 共著)等がある。

バックナンバー

連載:IT Compliance Reviewスペシャル

もっと読む

All contents copyright © 2007-2021 Shoeisha Co., Ltd. All rights reserved. ver.1.5