« 被害者匿名の発表増加 | Main | FIPS List »

2005.06.27

米国カード情報流出と情報セキュリティ監査

 こんにちは、丸山満彦です。米国のカード情報が流出してその影響は日本にも及んでいますね。先日届いた私のクレジットカードの明細には気になる取引はありませんでした。最初は少ない金額で取引をしますので、明細をチェックする時は、少ない金額のものまで気にしないといけませんね。
 さて、アメリカのカード会社ではカード情報の安全性確保のために安全基準を統一化し、それに基づいた監査を実施することにより、販売店やデータプロセッシング会社からの情報漏えいを防止に努めています。

 
 今回漏えいを引き起こしたSystemCard社もどこか認定された監査会社によるVISAの監査(PCI基準にもとづく監査)を受けていました。それでも事故が起こりました。
 ISMSやPマークを取得している会社でも当然に事故は起こります。

 監査を受けていること=事故が起こらないというわけではないのは当然ですね。もちろん、PCI基準やISMS認証基準に準拠した活動を行っていれば一般的に事故が起こりにくいといえるのでしょうが・・・。 

 情報セキュリティ監査は、事故が起こらないということの絶対的な保証ではなく、PCI基準やISMS評価基準に準拠したプロセスを踏んでいるということを保証しているにすぎず、その保証も絶対的なものではありません。相対的で保証水準もいろいろあるでしょう。

 PCI基準がそもそもセキュリティ対策上の良い基準であるのか?という問題もありえます。

 会社の責任と監査人の責任、PCI基準をつくったVISAの責任・・・だれがどのような責任を負うべきか・・・
 
 情報セキュリティ監査の制度設計をする場合は、いろいろと考えなければならないことがあるように思います。

 
【参考】
■Hotwired
CardSystems' Data Left Unsecured 2005.06.22

■Hotwired Japan
カード情報流出事件:問われる業界安全基準(上) 2005.06.22
カード情報流出事件:問われる業界安全基準(下) 2005.06.23


■このブログ
・2005.04.27 ビザとマスターカード、大手販売業者にセキュリティ対策を義務付け
・2005.02.22 VISAとJCBが情報管理基準を共通化

・2005.06.23 情報セキュリティ監査 保証型監査の課題
・2005.05.21 認証ビジネス乱立? ネット懸賞広告の個人情報保護の認証制度
・2005.04.29 「結果の保証」と「プロセスの保証」
・2005.04.20 監査・審査・格付けとは何かについて真剣に考えるべきでは?



このブログの中の意見は私見であり、所属・関係する組織の意見ではないことをご了承ください。

|

« 被害者匿名の発表増加 | Main | FIPS List »

Comments

Post a comment



(Not displayed with comment.)


Comments are moderated, and will not appear on this weblog until the author has approved them.



TrackBack


Listed below are links to weblogs that reference 米国カード情報流出と情報セキュリティ監査:

» クレジットカードのリスク [情報セキュリティコンサルタントのお気楽Blog]
引き続きこの話題です。今回の漏洩事件でクレジットカードのリスクが改めて白日の下の晒された訳ですが、覚えの無いクレジットカード会社からの請求、私も経験があります。4年前にニュージーランドに出張に行った際、ホテル代その他の支払いはクレジットカードが主でした。帰国後、その... [Read More]

Tracked on 2005.06.27 21:56

» 【カード情報流失】あなたの信用 プライスレス [さいたまblog]
新入社から何年かは、まだバブルの燃えカスが燻っているような状況だった。そんな中、独身だった私たちのライフスタイルは何事においても消費中心で、これから確実に景気が悪くなるぞと脅かされながらも、気ままな放蕩を繰り返していた。(結婚して家庭を持った今、強烈に...... [Read More]

Tracked on 2005.06.28 19:06

« 被害者匿名の発表増加 | Main | FIPS List »