クレジットカードなどの不正利用が増加する中で、ペイメントカードの国際的なセキュリティ基準「PCI DSS」が今、再び注目を集めている。2022年3月31日には、約9年ぶりのメジャーアップデートとなる「PCI DSS v4.0」が発表された。ペイメントビジネスの進化を踏まえてリリースされたPCI DSS v4.0には、どのような考え方が盛り込まれたのか。また、企業はどのような対応が必要なのか。
PCI DSSを管理しているPCI Security Standards Council (以下、PCI SSC) 日本のアソシエイト ダイレクターである井原亮二氏が、9月27日、28日に開催されたオンライン展示会「TECH+ セキュリティ2022」に登壇。「ペイメントセキュリティのニーズに応えて」と題した講演を行った。
PCI SSCとはどのような組織か?
PCI SSCは、ペイメントカードの国際的なセキュリティ基準「Payment Card Industry Data Security Standard」(以下、PCI DSS)v1.0が2004年12月に策定されたことを受け、それを管理するために2006年に設立された団体だ。
現在、「American Express」「Discover」「JCB」「Mastercard」「UnionPay (銀聯)」「VISA」の6ブランドが参加し、主な活動としてPCI基準と関連プログラムの策定・管理に加え、セキュリティ人材の育成と教育、セキュリティに関する啓蒙を行っている。
今、日本のカード業界では再びこのPCI DSSが注目されている。その背景にあるのは、キャッシュレス決済の増加に伴う、クレジットカードなどの不正利用増加だ。日本クレジット協会 (JCA)が発表した統計によると、2021年は不正被害額が330億円に達し、偽造カードが横行していた1990年代をしのぎ過去最大の被害額になったという。
主な手口は、EC決済で他人のクレジットカード情報を使う"なりすまし"による不正利用である。クレジットカード情報の安全な保護が喫緊の課題とされる中、割賦販売法では関連事業者に対しクレジットカード番号等の適切な管理を求めている。「クレジット取引セキュリティ対策協議会」が策定した「クレジットカードセキュリティガイドライン」は割賦販売法が求めている要件を満たすための実務上の指針とされているが、この中でPCI DSSについても言及している。
