第2回　ISMSやプライバシーマークとは全く違う

　PCI DSSだけでなく，情報セキュリティ対策基準にはISMSやプライバシーマークがある。これらの基準とPCI DSSの違いを解説する。この違いを理解することで，PCI DSSの位置付けが明らかになるだろう。

　ISMSは情報資産を保護するための仕組み作りへの指針を，プライバシーマークは情報資産保護に関する法令順守の方針を，それぞれ与えてくれる。しかし，技術的なセキュリティの達成目標の設定は個々の組織に委ねられている。そのため，ISMSあるいはプライバシーマークの認証を取得しているということだけでは，どのレベルの対策が施されているのか判別できない。PCI DSSは，ISMSやプライバシーマークに欠けている，情報セキュリティの技術的な達成目標を明確にしているのである。

ISMS＝マネジメント・レベルの基準，PCI DSS＝情報システムの基準

　PCI DSSとISMSの違いは，大きく三つある。

　違いの一つ目は，守るべき情報資産が明確なことだ。ISMSでは，守るべき情報資産はリスク分析に基づき自ら特定するのに対して，PCI DSSでは，守るべき情報資産が「カード会員データ」と「センシティブ認証データ」であることを序文で明記している。センシティブ認証データには，クレジットカードの磁気ストライプ情報，カードバリデーションコードおよび暗証番号などが含まれる。

　ISMSでは適用範囲を任意に設定することができるが，PCI DSSでは適用範囲を任意に設定することができない，という点も異なっている。PCI DSSでは適用範囲のことを「カード会員データ環境」と呼ぶが，カード会員データやセンシティブ認証データを保有しているネットワーク部分がこれに該当するため，その範囲は一意に決まることになる。

　ISMSとの違いの二つ目は，要件が具体的に規定されていることである。ISMSでは，セキュリティ対策はリスク分析に基づいて自らが決定する。例えば，ネットワーク・セキュリティに関するISMSの要求に事項には「ネットワークを適切に管理し，制御すること」との記述があるのみで，具体的な管理および制御方法に関しては何も決められていない。一方，PCI DSSでは，ファイアウォールの導入および設定に関し，フィルタリング方式の指定やDMZの導入を必須とするなど，要件を具体的に記述している。PCI DSSは，カード会員データに対する脅威を網羅的に分析した結果として得られた，セキュリティ対策のベストプラクティスと言える。

　ISMSとの違いの三つ目は，ネットワーク・セキュリティを重視していることである。ISMSでは，情報セキュリティの質を維持・管理していくための組織・管理体制に主眼が置かれている。それに対し，PCI DSSでは，要件のすべてがネットワークと関連しており，特にネットワーク・セキュリティに関連する技術事項を重視している。

　ISMS とPCI DSS との違いは，目的の違いの表れと言える。ISMS がセキュリティ・マネジメントの向上を目的としているのに対して，PCI DSS はある一定のセキュリティ水準を達成することを目的としている。別の言い方をするなら，ISMSは自社組織のセキュリティに対するマネジメント・レベルを測る指標であるのに対し，PCI DSSはセキュリティ実装の達成度合いを測る指標である。つまり，両者は互いに相互補完の関係にあると考えられる（図2）。

図2●PCI DSSとISMSの関係

　日本情報処理開発協会（JIPDEC）は，2005年にVISA，JCBと協同で，「クレジット産業向けISMSユーザーズガイド」を作成している。このガイドでは，ISMSとPCI DSSのマッピングリストを作成し，その要件の差分を明らかにすることにより，審査の重複の回避と簡素化を目指している。両者は互いに相互補完の関係にあるため，これらを包含することにより，一定のセキュリティ水準を達成しつつ，継続的な改善を図るためのマネジメント・システムを確立することが可能になる。

プライバシーマーク＝手続きを重視，PCI DSS＝技術的な側面を重視

　プライバシーマークは，個人情報の保護を目的としているため，守るべき情報資産が明確である。また，個人情報を保護対象としていることで，適用範囲も一意に決まる。そのため，ISMSとの違いの一つ目については，プライバシーマークには当たらない。しかし，ISMSとの違いの二つ目と三つ目については，同様の違いがある。

　プライバシーマークは，個人情報保護法がベースとなっており，内容的にも個人情報の収集時の利用目的の本人への通知など，手続面での要求事項を中心にまとめられている。例えば，情報セキュリティに関しては「安全管理措置　事業者は，その取り扱う個人情報のリスクに応じて，漏えい，滅失またはき損の防止そのほかの個人情報の安全管理のために必要，かつ，適切な措置を講じなければならない」としているのみで，具体的な技術要件の記載はない。PCI DSSは，プライバシーマークと比較しても，ネットワーク・セキュリティを重視した要件が具体的に規定されていると言える。

　プライバシーマークとPCI DSS との違いも，目的の違いの表れと言えるが，その関係はISMSの場合とは違う。カード会員データやセンシティブ認証データも個人情報の一種と考えられるため，個人情報を守るということでは同じだ。しかし，プライバシーマークが主に手続き面を重視した法令順守を目的としているのに対して，PCI DSS は技術的な脅威，特にネットワークを流通する個人情報を漏洩の脅威から保護することを目的としている。そのためPCI DSSは，プライバシーマークの技術的な側面を補完する関係にあると言える。

豊田 祥一 ネットワンシステムズ 営業推進グループ セキュリティ事業推進本部 コンサルティング部 部長 2005年11月，ネットワンシステムズ株式会社入社。前職において，iDCにおけるECシステムの運用業務に携わる。主にPKIを導入したインターネット・サービスの運用業務設計を担当。現職においては，ネットワーク・ベンダーの視点に基づくコンサルティング・ビジネスを推進。2006年より，PCI DSSに関するセミナー講師を実施。前宮内庁CIO補佐官。