Special Issue
<PCI DSS特集>国内で市場の広がりみせる
2010/02/25 19:56
週刊BCN 2010年02月22日vol.1322掲載
各要件に対応する製品が伸長
12要件準拠支援する製品PCI DSSがらみでの特需も
米国で今、セキュリティ商材の特需をもたらしている「業界標準」がある。それが、VISA、MasterCard、American Express、Discover、JCBの国際カードブランド5社で発足した業界団体「PCI SSC(PCI Security Standards Council)」が策定したクレジット業界のグローバルなセキュリティ標準「PCI DSS(Payment Card Industry Data Security Standard)」だ。
PCI DSSは「クレジットカード情報」の保護が目的であり、準拠の対象はクレジットカード情報を取得する可能性のある企業のすべてが該当する。加盟店はもちろん、業務を請け負うシステム開発・運用会社、場合によってはデータセンターも準拠の対象になるなど、幅広いのが特徴だ。
UTM(統合脅威管理)アプライアンスを手がける米ウォッチガード・テクノロジーズでグローバルチャネル&フィールドマーケティング担当ディレクターを務めるマーク・ロマーノ氏は、「カード加盟店であるレストランチェーンのIHOPに製品を導入した。今、リセラーに対して、PCI DSS関連で教育を行っている」と話す。
米国では、州レベルでクレジットカードに関する法制化が進んでいることから、PCI DSSが非常に注目されている。
一方、国内では割賦販売法改正により、クレジットカード取引の規制が強化されている。だが、PCI DSS自体は民間のガイドラインという位置づけであることや、また日本独自のクレジットカード業界の構造により、米国におけるPCI DSSのような強力なセキュリティのドライバになりきれていないのが実情だ。
とはいえ、動きはある。VISAはレベル1加盟店(4段階に区分されているレベルの最上級。カードの取引件数が年間600万件を超える加盟店など)の完全準拠期限を今年9月末に設定している。
この期限までに準拠していることを証明しないと、カード会社の下で加盟店を開拓・管理するアクワイアラにペナルティが課されるほか、加盟店契約が変更になれば、加盟店にもペナルティが課されるとの見方もある。一方で、PCI DSSに準拠していれば、万一情報漏えいが発生しても損害金額が免除される可能性があるとされている。こうした事情から、特需とまではいかないまでも、徐々に盛り上がりをみせているのは確かだ。
業界のなかでも特にPCI DSSの準拠が進んでいるのが、ECサイトなどに決済サービスを提供する決済代行事業者(プロセッサ)だ。外部に対して「安心して委託できる」ことを示す差異化の要素の一つになり得るからだという。さらに、首都圏のガソリンスタンドや百貨店、スーパーなどの実店舗でも準拠するところが増えている状況だ。
米国では特需に沸く
国内も徐々に盛り上がりみせる
12要件からなるPCI DSSではそれぞれの要件を満たすために必要な機能を提供することで、準拠を支援する製品がある。米国では、そのなかでも暗号化にかかわるHSM(ハードウェアセキュリティモジュール)など、PCI DSSの誕生をきっかけとして火のついた製品も生まれている。
トレンドマイクロでは、セキュリティベンダーとして、要件5で定められているウイルス対策を満たす製品をはじめ、PCI DSSに対応した製品を数多く取り扱っている。エンタープライズマーケティンググループの瀬戸弘和ディレクターは「PCI DSSに準拠しないままで情報漏えい事件・事故を起こした場合、企業のブランドイメージの失墜もさることながら、訴訟を起こされたり、最悪のケースでは二度とカード決済を受けられなくなります。甘くみていると、経営の根幹を揺るがしてしまいます」と、警鐘を鳴らす。
エンドユーザーの反応は、金融業界、製造業などを中心に、経営層レベルでPCI DSSに対する関心が高まっているという。トレンドマイクロでは、金融関連のパートナーと連携し、ハイタッチ営業によって経営層にリスクに気づいてもらう活動を展開していく計画だ。
PCI DSSはカード業界以外にも広がりをみせている。例えば、ネットワンシステムズの戦略が見逃せない。同社はPCI DSSの「DSS(データセキュリティの標準)」の部分に着目し、一般企業における情報セキュリティ実装の「教科書」として広める活動を行っているのだ。このような動きが活発化すれば、今後の市場拡大が見込めそうだ。