« 金融庁 偽造キャッシュカード問題に関するスタディグループ(第9回) | Main | トレンドマイクロ 復旧費用には対応 損害賠償には対応しない »

2005.04.27

ビザとマスターカード、大手販売業者にセキュリティ対策を義務付け

 こんにちは、丸山満彦です。CNETJapan(2005.04.25)に、「ビザとマスターカード、大手販売業者にセキュリティ対策を義務付け」というニュースがのっていました。これは、クレジットカード番号を取り扱う事業者にカード会社が一定のセキュリティ対策の要求を行うものです。アメリカではこれが、義務化されるようですね。

 
■CNETJapan 2005.04.25
ビザとマスターカード、大手販売業者にセキュリティ対策を義務付け

■CNET 2005.04.22
Retailers feel security heat

====
MasterCard InternationalとVisa USA。両社は、大手販売業者に対し、新しく定められた業界標準ガイドラインの「Payment Card Industry(PCI) Data Security Standard」に対応するよう、6月30日の期限付きで要求している。同ガイドラインは、消費者のデータを保護する目的で定められたもので、これに従わない販売業者は、罰金を含む罰則の対象となる。
====

 販売業者となっていますが、クレジットカード番号を利用するすべての事業者がこのプログラムの対象となるようです。

====
販売業者、銀行、および第三者トランザクション処理業者など支払いに関係する企業すべてが対象となっている
====

 PCI Data Security Standardは次のような規定がもりこまれているようです。

====
企業に対し、ファイアウォールの設置やメッセージの暗号化、コンピュータアクセス制御、ウイルス対策ソフトの利用が義務付けられている。また同ガイドラインの下では、企業はセキュリティ監査やネットワーク監視を頻繁に行う必要があり、またデフォルトのパスワードを使用してはならないことになっている
====

 規模に応じて、セルフアセスメント、脆弱性検査、コンサイト監査の3つの評価が行われるようですね。例えば、規模が小さい企業では、セルフアセスメントだけ、規模が大きい企業では、3つとも行わないといけないようですね。

 この基準に準拠しているかどうかは、評価人(Assessor)がチェックすることになっているようで、Assessorの資格がある事業者も公開されていますね。

【参考】
MasterCard The MasterCard SDP Program


VISA CISP

VISA Cardholder Information Security Program (CISP)(USの場合)

VISA Global Data Security Program(Non-USの場合)

VISA Asia Pacific
======

PCI Data Security Standards MasterCard
Payment Card Industry Data Security Standard
Payment Card Industry Security Scanning Procedures
Payment Card Industry Security Audit Procedures
Payment Card Industry Self-Assessment Questionnaire

Merchant Definition Matrix
Service Provider Definition Matrix

Assessor (VISA)
Assessor List (US)
Japan/Korea


情報セキュリティ気まぐれ日記 2005.02.22
VISAとJCBが情報管理基準を共通化



このブログの中の意見は私見であり、所属・関係する組織の意見ではないことをご了承ください。

|

« 金融庁 偽造キャッシュカード問題に関するスタディグループ(第9回) | Main | トレンドマイクロ 復旧費用には対応 損害賠償には対応しない »

Comments

丸山 様

こんばんは。

今回のVISAとMaster Cardの対応は,しごく当然のことだと思いますし,歓迎すべきことだと思います。

今回指摘されている点は,いずれも以前から情報セキュリティの専門家達によって指摘されてきたことなのですが,「改善するためにはコストが発生する」という理由でカードユーザである事業者等から難色を示され,対応が遅々として進まなかったものですね。

国としても法律によって規制するのは厳しすぎるということで法制化の議論が出ては立ち消えてきたのですが(関連するガイドラインらしきものはあった。),法制化しておいたほうがよかったかもしれません。

しかし,VISAやMaster Cardが非常に強い態度に出たことにより,カード決済なしにはほとんど無力になってしまう事業者にとっては無視できない事態が到来したと評価できると思います。考えようによっては,これは,法律による規制よりももっと厳しいことかもしれません(仮に何らかの規正法があり,その法律違反があっても事業者が直ちにカード利用者から外されるわけではないような法制になるのが通例です。)。

別の視点から考えると,個人情報保護法の適用よりも厳しい事態が発生しているということができるでしょう。

よかったと思います。

そして,事業者は,本来支出すべきコストを支出しないことによって利潤を生み出すのではなく,必要なコストを支出し,安全で確実な決済システムを維持することによって消費者の信頼を獲得し,そして,売り上げを伸ばすということに努めるべき時代が来たと思います。

妙な宣伝で消費者をごまかそうという姿勢は,このblogでもRFIDタグに関連して批判してきたところですが,そんな馬鹿なことはもう終わりにして,もう少しまともにビジネスをやるべきですね。

Trustedなビジネスというものは,基本的にコンプライアンスを充足し,その上で価値の生産を考えるというのでなければならないと思います。

Posted by: 夏井高人 | 2005.04.30 19:42

夏井先生、コメントありがとうございます。

====
Trustedなビジネスというものは,基本的にコンプライアンスを充足し,その上で価値の生産を考えるというのでなければならないと思います。
====

その通りだと思います。これはお金に関係する話ではないですね・・・


 私も営利法人に勤務していますから、利益をだすことの重要性や困難さはわかっているつもりです。社会的に本当に価値があるものを提供すれば、利益はでると思っています。もちろん、暴利は得れませんが・・・

Posted by: 丸山満彦 | 2005.05.01 09:36

Post a comment



(Not displayed with comment.)


Comments are moderated, and will not appear on this weblog until the author has approved them.



TrackBack


Listed below are links to weblogs that reference ビザとマスターカード、大手販売業者にセキュリティ対策を義務付け:

« 金融庁 偽造キャッシュカード問題に関するスタディグループ(第9回) | Main | トレンドマイクロ 復旧費用には対応 損害賠償には対応しない »