久方ぶりの円安基調などを背景に来日する外国人観光客が急増している。観光立国を目指す政府は先頃、東京五輪が開催される2020年の外国人観光客数の目標を年間2000万人から3000万人へと大きく引き上げた。こうした状況で予想されるのが、クレジットカードなどを利用した決済の増加だ。それとともにカード情報などを狙うセキュリティ犯罪のリスクの高まりも懸念される。

カード情報を保護する枠組みでは2008年に、5つの国際的なカードブランド（American Express、Discover、JCB、MasterCard、VISA）が「PCI Security Standards Council」（PCI SSC）を設立。それまで各ブランドが独に策定していたカード情報のセキュリティ基準を国際標準の「Payment Card Industry Data Security Standard」（PCI DSS）として策定し、PCI SSCがPCI DSSの世界的な普及を推進してきた。

PCI DSSの最新版は2013年11月に公開されたバージョン 3.0。2015年4月15日にバージョン 3.1が公表され、2016年6月末までに移行することになっている

PCI DSSではカード情報および取扱システムに関する12のセキュリティ要件が規定されており、各国のカード発行元会社などがカード加盟店などに対して要件への準拠を求めてきた。PCI DSSは度々改定されており、最新のセキュリティ脅威動向に対応したものとして整備されている（関連リンク）。カード先進国といわれる米国では加盟店のPCI DSSへの準拠が事実上の義務にもなっているようだ。

PCI DSSの12の要件

項目 要件 内容 安全なネットワーク構築・維持 要件1 カード会員データを保護するためにファイアウォールを導入し、最適な設定を維持すること 要件2 システムパスワードとその他のセキュリティパラメータにベンダー提供のデフォルト値を使用しないこと カード会員データの保護 要件3 保存されたカード会員データを安全に保護すること 要件4 公衆ネットワーク上でカード会員データを伝送する場合は暗号化すること 脆弱性管理プログラムの導入 要件5 アンチウイルスソフトまたはプログラムを利用し、定期的に更新すること 要件6 安全性の高いシステムとアプリケーションを開発し、保守すること 強固なアクセス制御手法の導入 要件7 カード会員データへのアクセスを業務上の必要範囲内に制限すること 要件8 コンピュータにアクセスする利用者ごとに個別のIDを割り当てること 要件9 カード会員データへの物理的なアクセスを制限すること 定期的なネットワークの監視とテスト 要件10 ネットワーク資源およびカード会員データに対する全てのアクセスを追跡、監視すること 要件11 セキュリティシステムおよび管理手順を定期的にテストすること 情報セキュリティポリシーの整備 要件12 全ての担当者の情報セキュリティポリシーを整備すること

国内では2010年頃からPCI DSSに対する関心がITベンダーなどを中心に高まり始めた。ただ、欧米に比べると日本のクレジットカード利用はそれほど高くはないと言われ、PCI DSSの普及ペースは鈍かったようだ。それが上述した来日外国人の急増などを背景に大きく変わる可能性が出てきた。

カード情報の被害が国内で横行する事態になれば、日本に対する国際的な信用が損なわれる恐れもある。海外ではサイバー攻撃などよって膨大なカード情報が犯罪集団に盗まれ、闇市場で取引されているのが実態だ。最近では「POSマルウェア」と呼ばれる店舗端末に感染してカード情報を盗む不正プログラムが国内で広がり始め、カード情報を保護するセキュリティ対策が急務になった。3月には経済産業省が「クレジット取引セキュリティ対策協議会」を発足（関連リンク）。協議会ではPCI DSSへの準拠に関する具体的な情報漏えい対策などを検討していく。

PCI SSC インターナショナルディレクターのジェリミー・キング氏

PCI SSCでPCI DSSの海外普及を担当するインターナショナルディレクターのジェリミー・キング氏は、「日本を含むアジア太平洋地域は世界で最もカード利用率が高まっている。カード決済のみならずモバイル決済も浸透し始め、2020年に向けてキャッシュレス化が加速するだろう。日本にとってはカード情報を国際基準で保護していく取り組みが急務になっている」と指摘する。

同氏によれば、PCI SSCでは経産省や日本クレジットカード協会、日本カード情報セキュリティ協議会と連携して、PCI DSSの日本での普及を支援していく。10月14、15日には都内で「PCI アジア太平洋コミュニティミーティング」を開き、カードセキュリティを取り巻く現状や対策技術動向の解説、PCI DSS導入のトレーニングなどを提供するという。

「カード決済やモバイル決済に国境はないので、データの安全を守るためにはぜひ国際標準を活用してほしい。PCI DSSは準拠すれば良いというものではなく、セキュリティリスクを減らすためにあると考えていただきたい。われわれはそのために包括的な支援を行っている」（キング氏）

PCI DSSの12の要件は全て準拠すべきというものではなく、実際には加盟店などの状況に応じて必要な要件に対応していく形が多い。「加盟店によってはカード発行元などの支援を受けながら、数年をかけてセキュリティ対策を整備していくケースが一般的だ」という。

2020年に向けて欧米で先行していたPCI DSSの普及が国内でもようやく本格化することになりそうだ。

Copyright © ITmedia, Inc. All Rights Reserved.