日本の電子商取引は､安全対策に問題がある 簡単な手口でカード情報を盗むことが可能

Eコマースなどウェブ上での被害を防ぐための有効とみなされているのが、クレジットカードデータの国際的なセキュリティ基準「PCIDSS」（Payment Card Industry Data Security Standard）準拠の取り組みだ。PCIDSSとは、「安全なネットワークの構築・維持」「カード会員データの保護」「ネットワークの定期的な監視およびテスト」など、加盟店など企業が行うべきクレジットカード情報保護の手順を定めた国際標準規格で、12の要件（約400の小項目）が規定されている。

同基準の普及促進団体「PCISSC」（Payment Card Industry Security Standard Council）のジェレミー・キング・インターナショナルディレクターは、「特にEコマースを標的とした不正への対処は世界的に見ても大きな課題。その点で、PCIDSSは適切な保護の水準を提供している」と説明する。

日本企業の間での認知度は急速に向上

「PCIDSS準拠」の意義を語るキング氏（撮影：今井康一）

キング氏によれば、「政府や業界の普及啓発活動もあり、日本企業のPCIDSSへの認知度は急速に向上している」という。「2020年の東京オリンピック開催に向けて決済システムを進化させていく中で、PCIDSSを普及させていこうとする取り組みは整合性が取れている」（キング氏）。

もっとも、PCIDSSに準拠するのみならず、常にPCIDSSが求めるデータセキュリティの質を維持し続けることは容易ではない。

世界で4000件以上のPCIDSS監査を実施している米ベライゾンが公表した「2015年度版ペイメントカード業界コンプライアンス調査報告書」によれば、同社の専門チームが過去10年間に調査したペイメントカードデータの漏えい・侵害事案のうち、その発生時にPCIDSSに完全に準拠していた企業は皆無だったという。

同社によれば、特に、「安全性の高いシステムとアプリケーションを開発し、保守する」「ネットワークリソースおよびカード会員データへのすべてのアクセスを追跡、監視する」という2要件については、漏えい・侵害の被害が発生した時点で、問題が起きたすべての企業で準拠できていなかった。「平均準拠率は3年前と比べて格段に上がってきているものの、準拠状況の継続性という点では課題がある」と、ベライゾンジャパン合同会社の岡田正人・事業開発本部部長は説明する。