【解説】
米国企業の現状に学ぶコンプライアンス・コスト

法規制の増加を見据え、長期的な視点でIT投資を考える

（2008年06月27日）

対応コストがかさむのは個別分野を扱う連邦法

　前述のように、回答者のほとんどがコンプライアンスにかかわる総支出額を把握していなかった。それでも、どの規制に最もコストがかかっているのかは十分に理解している。

　現在、米国企業が最も対応に苦慮しているのは、SOX法であろう。だが、多くの回答者がコスト的な負担が大きいと感じているのは、HIPAAやGLBA、捜査当局による通信傍受支援法（CALEA：Communications Assistance for Law Enforcement Act）といった個別分野を対象とした連邦法だ。

　図1を見ると、最もコスト高な法律・規制は何かという問いに対して、各種の連邦法を挙げた回答者は36.8％に達し、SOX法の26.3％を大きく上回っていることがわかる。続いて、カリフォルニア州SB1386を挙げた回答者が15.8％、SECや米国連邦金融機関検査委員会（Federal Financial Institutions Examination Council）といった連邦機関の規制という回答は13.2％だった。

図1：最もコストがかかると思う法律・規制（資料：米国Nemertes Research）

　　
　こうした法令や規則に起因するコンプライアンス・コストの負担が今後下がることを期待している回答者は皆無だった。コンプライアンスへの支出が増えると予想する回答者は60％に上り、残りの40％は少なくとも現状が維持されると答えた。

　法律が新たに追加されたり、古い法律の期限が延長されたりして、法環境は常に変化している。今回の回答者は、このような点を考慮したうえで、コンプライアンス・コストに対して楽観的な見通しは立てられないと判断したということだ。

　この結果から、長期的な視点に立ってコンプライアンス投資を行うという企業の姿勢が見えてくる。

Column
クレジットカード業界の新セキュリティ標準が策定へ

Ellen Messmer／Network World米国版

　業界団体による規制として、広く知られているものの1つに、クレジットカード業界の「PCIデータ・セキュリティ規準（PCI Data Security Standard：PCI DSS）」がある。これは、クレジットカード・データを取り扱う企業（小売業者、オンライン販売業者、データ処理会社など）が、ネットワークおよびアプリケーションの安全確保やカード所有者のデータの保護、脆弱性管理プログラムの維持に向けて、定期的に第三者の監査を受けるよう定めた技術要件集である。

　この規制を管理しているのが、PCIセキュリティ・スタンダード・カウンシル（PCI Security Standards Council：PCISSC）である。同団体は2007年11月7日に、新たなセキュリティ標準を策定する意向を明らかにしている。これは「Payment Application Data Security Standard（PADSS）」と呼ばれている。

　PCISSCのゼネラル・マネジャー、ボブ・ルッソ氏は、「支払いアプリケーションのプロバイダーとその製品が、現行のPCIデータ・セキュリティ規準と整合性のあるデータ・セキュリティ要件を順守できるような体制を整えたい」と語っている。同氏は、まだPADSSの詳細は明らかにできないとしているが、PCISSCのWebサイトには、PADSSの方向性に関するFAQが掲載されている。

　このFAQの中で、「PADSSは、承認や決済の一環としてカード所有者のデータを保存、処理、転送するような支払いアプリケーションを開発するソフトウェア・ベンダーなどに適用されるもので、それらの支払いアプリケーションが第三者により販売あるいは配布されている場合に該当する」と説明している。

　また、「PADSSの完成後には、支払いアプリケーションの認定を行うQSA（Qualified Security Accessor）資格を策定する予定であり、将来的には認定済み支払いアプリケーションのリストも公開する」と記載されている。なお、PCI DSSに関しては、すでに60人以上がQSA資格を取得している。

　一方、「QSA有資格者がPADSSに適合していると認めた支払いアプリケーションでデータ侵害が発生した場合どうなるのか」という質問には、「そのようなケースについては、ソフトウェア・ベンダーとのサービス契約の範囲内で責任を負う」と答えている。

前のページへ < ｜1｜2｜3｜4｜5｜6｜ > 次のページへ