【解説】
米国企業の現状に学ぶコンプライアンス・コスト

Column
クレジットカード業界の新セキュリティ標準が策定へ

Ellen Messmer／Network World米国版

　業界団体による規制として、広く知られているものの1つに、クレジットカード業界の「PCIデータ・セキュリティ規準（PCI Data Security Standard：PCI DSS）」がある。これは、クレジットカード・データを取り扱う企業（小売業者、オンライン販売業者、データ処理会社など）が、ネットワークおよびアプリケーションの安全確保やカード所有者のデータの保護、脆弱性管理プログラムの維持に向けて、定期的に第三者の監査を受けるよう定めた技術要件集である。

　この規制を管理しているのが、PCIセキュリティ・スタンダード・カウンシル（PCI Security Standards Council：PCISSC）である。同団体は2007年11月7日に、新たなセキュリティ標準を策定する意向を明らかにしている。これは「Payment Application Data Security Standard（PADSS）」と呼ばれている。

　PCISSCのゼネラル・マネジャー、ボブ・ルッソ氏は、「支払いアプリケーションのプロバイダーとその製品が、現行のPCIデータ・セキュリティ規準と整合性のあるデータ・セキュリティ要件を順守できるような体制を整えたい」と語っている。同氏は、まだPADSSの詳細は明らかにできないとしているが、PCISSCのWebサイトには、PADSSの方向性に関するFAQが掲載されている。

　このFAQの中で、「PADSSは、承認や決済の一環としてカード所有者のデータを保存、処理、転送するような支払いアプリケーションを開発するソフトウェア・ベンダーなどに適用されるもので、それらの支払いアプリケーションが第三者により販売あるいは配布されている場合に該当する」と説明している。

　また、「PADSSの完成後には、支払いアプリケーションの認定を行うQSA（Qualified Security Accessor）資格を策定する予定であり、将来的には認定済み支払いアプリケーションのリストも公開する」と記載されている。なお、PCI DSSに関しては、すでに60人以上がQSA資格を取得している。

　一方、「QSA有資格者がPADSSに適合していると認めた支払いアプリケーションでデータ侵害が発生した場合どうなるのか」という質問には、「そのようなケースについては、ソフトウェア・ベンダーとのサービス契約の範囲内で責任を負う」と答えている。