ネット上でクレジットカードの不正利用が急増、世界標準の仕組みの導入を
国内のクレジットカード発行枚数は3億枚を超える。一時期、カード加盟店の店頭や街中でスキミングされた磁気情報を基に作られた偽造カードの不正使用が横行した。最近ではICチップ内蔵型カードの普及により、スキミングのリスクは格段に小さくなった。
とはいえ、対面販売上のリスクが低下しただけで、それ以外のリスクはむしろ高まっている。特にネットショッピングでは住所、氏名とカードの有効期限、それにカード番号さえわかれば、サインや暗証番号などの本人確認作業なしに買い物ができる。ギフトとして他の住所に送り、換金すれば足もつかない。
こういったクレジットカードを悪用した犯罪からユーザーを守る仕組みとして、大手国際カードブランドが共同で策定したのがPCI DSS(Payment Card Industry Data Security Standard)だ。
米国では認証義務化の州も
PCI DSSは、カード利用者保護のための、クレジットカード関連業者向けのセキュリティ基準だ。VISAとMastarが2001年にそれぞれセキュリティ強化プログラムを策定したことが始まり。その後、アメックス、DISCOVER(ダイナース)、JCBを加えた5大ブランドが歩調を合わせ、04年に基準を一本化、06年にはPCI SSC(PCIセキュリティ標準協議会)を設立し、セキュリティ実装の監査と認可を行っている。
これを受け、全米46州でデータ漏洩に関する法律が施行され、PCI DSSの認証を受けていれば損害賠償などさまざまな免責を受けられる仕組みができている。認証を義務化している州もあるほどだ。バンク・オブ・アメリカやエクソン・モービル、シスコなど、そうそうたる企業を筆頭に454社(10年11月末時点)が協議会に加盟している。
欧州でも、直接の準拠を求める法制度はないが、プライバシーカード保護意識の高い地域でもあり、カード発行銀行を中心に89社が加盟。中国でもバンクオブチャイナの加盟を受け、下位行も後に続き始めた。