PCIDSS最新動向~準拠コストを抑える“切り札”とは?
 |
| 代表取締役の山崎文明氏 |
ネットワンシステムズ株式会社のグループ企業で、セキュリティ監査サービスを提供するビジネスアシュアランス株式会社は24日、PCIDSSの最新情報に関する説明会を開催。2010年10月に改定されたPCIDSS Ver.2.0と、改定に併せて開催されたPCISSCの国際会議、米国で注目されるPCIDSS準拠費用削減技術などについて、代表取締役の山崎文明氏が解説した。
■ハードルを下げた、PCIDSS Ver.2.0
Ver.2.0では、主に基準・項目の改定サイクルが2年から3年に延長されたほか、項目の明確化や条件の緩和が図られた。山崎氏によれば「前版からはほぼ微調整で、全体的にハードルを下げた印象」とのことで、改定サイクルの延長とともに、PCIDSS準拠を容易化するベクトルが働いているようだ。
この背景には、「作成から6年が経過し、基準としてだいぶ成熟してきた」(PCISSC ジェネラル・マネージャのボブ・ロッソ氏)という理由のほか、「米国では大規模な流通業を中心に準拠が加速しているが、その費用は2009年だけでも10億ドルといわれている。これでは、より小さな加盟店が準拠するのは難しいとして、全米小売業協会、全米ホテル協会、全米レストラン協会、国際フランチャイズ協会など6団体の代表からロッソ氏へ、低コスト化を実現してほしいという連名の嘆願書が届いた」(山崎氏)というように、加盟店から条件緩和の強い要望があるという。
■国際展開に注力するPCISSC
裏を返せば、それだけ準拠に前向きと見ることもでき、実際、2010年9月にフロリダ州で開催された「2010 US Community Meeting」には、1146名もの参加者が集まった。
 |  |
| 2010 US Community Meetingの様子 | 主なトピック |
参加者から挙がった最も大きな声は、QSA(PCIDSS審査・認定機関)のクオリティ向上に関するものだったというが、ほかにもアドバイザ企業の声をより取り込めるよう、4つの「Special Interset Group(SIG)」が設置された。
そのうちの「Pre-Authorization SIG」では、「海外のホテルではチェックイン時にクレジットカード情報の提示が求められる。ホテル側はチェックアウト時に、その情報のオーソリを行い、 支払いに利用するのだが、チェックインからチェックアウトの間、何の保護もされないままカード情報が保管されることになる。こうした場合の事前認証を検討するのが目的」(山崎氏)というように、現場の実情にまで踏み込んだ話し合いも始まっている。
PCISSCとしては併せて、欧州での取り組みを強化する意向を見せている。2010年10月にはスペイン・バルセロナにて「2010 European Community Meeting」も開催されたが、参加者は277名と米国に比べると見劣り著しく、「欧州での準拠状況もこの数から推して知るべし」(山崎氏)なのだという。ほかにも、Webやマテリアルを9カ国語に対応させるなど、PCISSCの目は“国際展開の本格化”に向いているという。
■「右へならえ」で準拠が加速する中国
では、アジアパシフィックでの準拠状況はどうか。特に勢いのあるのが中国で、中国銀行の準拠を皮切りに、「右にならえ」でカード発行銀行が相次いで対応を進めているという。米国でも中国でも準拠の推進力となったのは、不正利用時の損失補てんやカードブランドへの罰金免除といった「免責事項」だが、「特に中国は日本よりも不正が多いため、危機感に違いがある」と山崎氏は語る。
■イシュアの準拠が遅れる日本
一方で日本では、「イシュア(カード会社)での準拠が遅々として進まないことが課題だ」(山崎氏)。カードブランド、イシュア、アクワイアラ(加盟店開拓業者)が完全に分離している米国では、カードの不正利用が生じた際の訴訟の対象がはっきりしており、訴訟リスクを避ける意味でも、PCIDSSに追い風が吹いている。ところが日本では、カードブランド、イシュア、アクワイアラを1社が兼ねることも多く、訴訟の対象が存在しないケースがある。これが追い風をさえぎり、イシュアへの準拠を鈍らせる要因になっているという。
しかし最近、日本にも中国同様「右にならえ」の状況が生まれつつある。きっかけは、2010年5月に三井住友カードがPCIDSSに準拠したことだ。山崎氏は「大手の準拠に、2011年以降、まわりも追従しようという流れが予想される」と指摘。加えて、「アクワイアラは自身が開拓 した加盟店へ準拠を促す役目を持つが、イシュア(アクワイアラを兼ねる)自身が準拠していないようでは加盟店にも強く促せず、この点からも、少しずつイシュアが準拠の必要性を感じ始めている」と説明する。
■準拠コストを削減する注目技術
 |
| トークナイゼ―ションの利点 |
さまざまな思惑が絡んできしむ歯車に、都度油を差すように調整を続けるPCIDSSだが、最大の課題はやはり準拠にかかるコストだ。これに関しては、1つの技術に期待が集まっている。
カード番号を意味のない別の数字に置き換える「トークナイゼーション」である。同技術の利点は3点。(1)暗号化のようにデータ長が長くならないため、 CPUに対する負荷が小さいこと、(2)データタイプも変わらないため、アプリケーションへの影響が極小であること、(3)数学的関連性のない数列に置き換えるため、複合化リスクが存在しないことだ。
非常にシンプルな仕組みなので、システムを自社開発してもコストは高が知れている。かつ、カード番号をトークナイゼーションすれば、そもそもPCIDSSの保護対象からも外れ、監査範囲を局所化できる。それどころか、本物のカード番号はすべてプロセサに預けて加盟店では一切持たないという運用さえ可能で、コストをかけずにPCIDSSに準拠する“切り札”と見られている。
PCISSCでも現在、同技術のガイドライン化が進められており、参考文書として提供される予定だ。このほかにも、ICカード規格の「EMV」「Encryption」「Virtualization」「Wireless」などの技術に注目が集まっており、同様にガイドライン化が行われている。
トークナイゼ―ションについて唯一懸念があるとすれば、「誰かが特許を取得している可能性があり、特許侵害リスクがある点だ」(山崎氏)という。日本では加えて、「法制化されるなど、“準拠しなくてはならない状況”が必要なのかもしれない」。