近年の脅威の増大を受けて、クレジットカードを決済に利用する企業側のセキュリティ対策は進んでいるのでしょうか。
武藤氏 残念ながら、小売業などクレジットカード情報を取り扱う企業が積極的にセキュリティ対策を講じている状況とは言えません。以前は、「カード情報は守るべき重要情報ではない」とさえ考えられていました。
さすがに最近は、サイバー攻撃のリスクが度々報道されるようになり、企業の経営層も「自社で情報漏えいが発生した際に、何も対策を講じていないではすまされない」と危機感を持ち、セキュリティ対策を考え始めたというところです。2014年7月に発覚したベネッセコーポレーションでの個人情報漏えい事件を契機に、ようやく経営者レベルでセキュリティ確保が課題として認識されるようになったと言えます。
日本カード情報セキュリティ協議会 事務局長 鍋島 聡臣氏(NTTデータ先端技術 セキュリティ事業部 セキュリティコンサルティングビジネスユニット コンサル企画支援グループ シニアコンサルタント兼PCI推進室長)
鍋島氏 とはいえ、「セキュリティ対策」といっても、何から手を付けてよいかわからないという企業が大半でしょう。特にPOSを扱っている小売業の場合は、ITに精通している企業が多いとは言えません。ですから、クレジットカード情報を効果的に保護するための統一したセキュリティ基準が求められているのです。
武藤氏 世界中から寄せられた意見と経験を生かしてセキュリティの統一基準を設け、それを守ることで堅ろうなシステムを構築しようというのが、カード業界の国際的なセキュリティ基準である「PCI DSS(Payment Card Industry Data Security Standards)」の考え方です。言い換えれば、セキュリティ侵害の可能性と侵害が発生した場合の影響を最小限に抑えることを目的に設計された「ベストプラクティス」です。
