クレジットカード産業の業界セキュリティ基準PCI DSS

IT系の業務に携わる者には重要な情報として2008年皐月の初旬に 数日続きで掲載されたネットワンシステムズの豊田祥一氏によるITpro内の記事が セキュリティ基準「PCI DSS」 に項目を纏め掲載されましたので少し日は経ってしまいましたが紹介させていただきます。

PCI DSSはPayment Card Industry Data Security Standardの略であり、 連載冒頭から引用させていただけば概略

PCI DSS（Payment Card Industry Data Security Standard）は，情報セキュリティの向上を目的としたクレジットカード産業の業界基準である。米国では，多くの企業がSOX法の対応に追われる中，特に小売業を中心にPCI DSSへの準拠が強く求められるようになったことから，非常に関心の高いコンプライアンス上の課題の一つとされている。

と纏められ、 近年情報資産のセキュリティについて喧しく騒がれる中も 本標準は本邦では未だ普及には至っていないようですが、 IT界の潮流は遅かれ早かれ米国のものが導入される傾向にありますし、 その意味で云えばSOX法への対応が一巡した頃米国でも目を向けられた由にて VISAとMasterCardの2社が中心となって開発された本標準なれば、 クレジットカード産業と云えばE-commerceとは切っても切り離せない状況にありますから、 只の今、SOX法への本邦企業の対応の大童の目を向ける余裕のある筈も無く、 当該法案の企業内適用の一段落すれば 孰れ、IT関係者は薄かろうと濃かろうと関係を持つことになると予想されます。

上記喧しきセキュリティ事項と云えば ISMS やプライバシーマーク抔が代表的にて、 多くの方が屡耳にされると思いますが、 PCI DSS は其れ等既存の要件とは異なり具体的で、且つ要求レベルも画然と定められる抔、性格は異なれど、 相互補完の関係にあり、どちらかを適用すれば其れで済むと云う問題ではなくなりますので、 セキュリティを考える上での懸念事項が増える結果になることは否めません。
ネットのセキュリティについては次々と新技術、新規約の採用されて IT業界関係者も追随するのに一苦労されているように拝察すると共に、 新技術に便乗しセキュリティ専門家を謳う怪しい業者も多く見掛けますので セキュリティを導入したいユーザー企業担当者のご苦労も偲ばれますが、 健全な業界の成長には欠くべからざる事項である為、 此処は提供側、被提供側の互いに切磋琢磨、投資研究される道を取らざるを得ないのではないでしょうか。
また当連載の末尾に「クレジットカード業界以外への適用も可能」として項目立てられている文面を引用させていただけば

　PCI DSSは，カード会員データとセンシティブ認証情報を保護することを目的に，主として技術的側面を重視して作成された業界基準である。しかし，これらの情報を重要情報と置き換えてみると，クレジットカード業界以外への適用も可能だ。
　また，マネジメント・システムの構築，コンプライアンスの順守，技術的セキュリティ水準の確保は，様々な情報セキュリティに関する脅威から組織を守るための主たる3要素であり，PCI DSSはこの一翼を担う資質を備えたものと言える。このため，技術的セキュリティのベンチマークとして，PCI DSSの重要性が今後増していくものと思われる。

とされていますから、 IT業界関係者に限った話ではないのかもしれません。

当アーティクルにも閲覧者の便利の為、 下記に連載記事夫々への直接リンクをはっておきます。

• 第1回　違反すると罰金や損害賠償が課せられる
• 第2回　ISMSやプライバシーマークとは全く違う
• 第3回　導入時は自己問診票でチェック
• 第4回　運用時は四半期ごとにスキャニング
• 第5回　情報システムに大きなインパクト