カード業界の国際的なセキュリティ統一基準であるPCI DSSの実装は、日本国内ではどのくらい進んでいるのでしょうか。
森氏 クレジットカード情報を扱う機会の多い決済代行事業者の間では、PCI DSSに準拠しなければならないという認識は進んでおり、普及率は60~80%です。しかし加盟店では、非対面のECサイトがまだまだ対応できていませんし、顧客と対面で接する加盟店に至ってはPOS導入店を含めてゼロに近いというのが実情です。
武藤氏 実店舗の加盟店については、「何もしていない」のではなく、「PCI DSS準拠を検討している」、または「PCI DSSに準拠すべく予算を組んでいる」段階にあるというのが正確でしょう。残念ながらセキュリティへの投資は、実際に攻撃を受けたり、国が義務化したりしないと進まないのが現実です。
森氏 2009年12月に施行された改正割賦販売法では、クレジットカード情報を利用している事業者に対して、安全管理措置が義務付けられました。経済産業省令でカード情報保護規則を制定する団体として認定された日本クレジット協会(JCA)は2012年5月、セキュリティ基準をPCI DSSとすることを決定し、「日本におけるクレジットカード情報管理強化に向けた実行計画」を公表しました。
その中では、対面のカード加盟店に対しては、チェーン店POS端末での対応にかかる期間を考慮して、2018年3月までにPCI DSSに準拠するようスケジュールを提示しています。これにより、PCI DSSの導入は今後進んでいくと考えられます。
武藤氏 もっとも、PCI DSSに準拠するためには、カード情報を保存・処理・伝送するためのシステムやネットワークの改修コストが発生します。このため当協議会は、カード加盟店に対しカード情報を持たない方法をまず考えてもらうことを推奨しています。