PCI DSSを実装するためには、企業は具体的に何をすればよいのでしょうか。
鍋島氏 最終的に準拠を確認する方法としては、「訪問審査」「自己問診」「サイトスキャン」の3つがありますが、クレジットカード情報の取り扱い形態や規模によって対応方法が異なります。
例えば、小規模企業で、取り扱うカード情報の件数が少なければ、自己問診(Self-Assessment Questionnaire)を提出してもらいます。また訪問審査では、PCI国際協議会によって認定された審査機関である「QSA(Qualified Security Assessor)」の訪問審査を受けて、認証を得ることになります。
森氏 PCI DSSはシステムに関する基準であり、247項目(テスト手順418項目)を満たす必要があります。ですからどんな企業でも、1回の訪問審査ですべての項目をクリアすることは難しいでしょう。一般的には半年から1年かけてコンサルティング会社などが現状調査をし、PCI DSSに対応していない部分を順次改修していく流れです。システムを更新するタイミングで、セキュリティ要件としてPCI DSSに準拠させるのが一般的です。
武藤氏 もちろん、セキュリティ対策に“100%”はないので、PCI DSSに準拠すれば絶対安心とは言えません。実際、米国ではPCI DSSに準拠していた企業が、セキュリティ侵害に遭った事例もあります。ただし、「自社で独自のリスクアセスメントをする必要がない」という意味においては、PCI DSSはメリットがあります。
通常、セキュリティ対策は、自社システムのリスクを洗い出し、侵害された際の被害金額を算定して投資を決定します。そうした作業には、手間もコストもかかります。しかし、PCI DSSに基づいて対策をすれば、クレジットカード情報については一定のリスクは低減できます。
岡山氏 PCI DSSは、実運用に即して、セキュリティの強度を上げる仕組みとして利用できます。自社のセキュリティポリシーから運用基準までをPCI DSSで“テンプレート的”に策定することで、クレジットカード情報という機密情報を保護できるわけです。企業のセキュリティ対策としても有用でしょう。
最近はiPhoneの「Apple Pay」のように、スマートフォンを利用した新しいクレジット決済方法も登場しています。セキュリティの観点から、安全な仕組みなのでしょうか。
鍋島氏 Apple PayはiPhoneに割り当てられた固有の「Device Account Number」(ワンタイムコード)が、クレジットカード番号の代わりになります。ですから、攻撃者がこの番号を盗んだとしても何もできません。この方法も「トークン化」と呼ばれ、国際カードブランド会社が設立したEMVCoが技術仕様の第1版を公開しています。PCI DSSで加盟店側システム内でのデータ保護方法として記載されているトークン化とは狙いが異なります。
Apple Payは「末端の店舗でカード番号を扱わない」という意味では、1つのソリューションです。こうした決済方法が普及すれば、店舗側でカード情報のセキュリティに気を遣う必要はなくなるので、理想型の1つと言えるでしょう。ただし、普及するかどうかは未知数です。
