EnterpriseZine(エンタープライズジン)

EnterpriseZine(エンタープライズジン)

テーマ別に探す

後編 PCI DSS最前線~全米が注目するセキュリティガイドラインを俯瞰する(後編)

  2009/09/11 07:00

急がれる監査人の質的向上

 QSAとして資格認定を受けるためのトレーニングコースでは、QSA自らの徹底した事実確認を実施することが強調されているが、現場では、必ずしも徹底されているわけではない実態があるようだ。

 加盟店の間では、やさしいQSAを探す風潮があり、その種の情報交換が行われている事情は日本国内も同じだ。特に日本では、ISMSの認証審査と同じイメージでQSA監査が捉えられていることから、十分な監査工数が費用的に認められない傾向があり、細部の確認が甘くなる傾向があるように思われる。

 PCI SSCでは、以前からQSAの品質に対する懸念を抱えており、被監査企業からのQSAに対する評価制度を導入し、QSAをレイティングし、一定の水準が維持されなければ資格をはく奪するなどの措置が取られつつあるが、やさしいQSAを求める被監査企業は、QSAに対してもやさしい評価をする可能性は高い。

 QSAが厳格な監査を行うことこそがPCI DSSへの社会的な信用、信頼を醸成することは間違いない。健全なQSA監査人の育成策が望まれる。

PCI DSSの一般企業への応用

 データ処理が必ずしも1社の社内ステムの中だけで完結する時代ではない。サプライチェーンやアウトソーシングを含めた付加価値を創造するバリューチェーン全体を見渡したセキュリティ対策が一層重要であることに異論はないだろう。

 ここからは、PCI DSSが示したDSSという考え方と、一般企業への応用について述べる。


著者プロフィール

  • 山崎 文明(ヤマザキ フミアキ)

    ビジネスアシュアランス株式会社 代表取締役社長 ネットワンシステムズ株式会社 フェローシステム監査技術者(経済産業省) 英国規格協会公認BS7799情報セキュリティ・スペシャリスト 大手外資系会計監査法人にてシステム監査に永年従事。システム監査、情報セキュリティ、個人情報保護に関する専門家として情報セキュリティに関する政府関連委員会委員を歴任。主な著書に「PCIデータセキュリティ基準 完全対策」(日経BP社 監修)「すべてわかる個人情報保護」(日経BP社)、「情報セキュリティと個人情報保護 完全対策」(日経BP社)、「情報セキュリティハンドブック」(オーム社 共著)、「システム監査の方法」(中央経済社 共著)、「コンティンジェンシー・プランニング」(日経BP社 共著)、セキュリティマネジメント・ハンドブック(日刊工業新聞社 共著)等がある。

バックナンバー

連載:IT Compliance Reviewスペシャル

もっと読む

All contents copyright © 2007-2021 Shoeisha Co., Ltd. All rights reserved. ver.1.5