PCI DSS準拠で実現する新しいデータ保護の概念：国内外のPCI DSS最新動向【第2回】

法律による義務化で普及が広がる米国、クレジットカード悪用に対する危機感の差が見える欧州とアジア諸国など、各国でのPCI DSS普及状況、および国内の動向を紹介する。

[山崎文明，ネットワンシステムズ]

　前回「一般企業向けにも現実的になったPCI DSS」では、PCI DSSに関するここ数年の最大トピックとして、2010年10月に発表されたPCI DSSの最新バージョン「PCI DSS Version 2.0」を紹介した。今回は、国内外でのPCI DSSの普及状況や事例を取り上げる。

PCI DSS準拠の義務化で普及広がる米国

　海外でのPCI DSSの普及状況は、国ごとに大きく異なる。最も普及が進んでいるのは米国だ。米国ではここ数年、PCI DSSへの準拠を促す州法を施行する動きが相次いでいる。情報漏えいを起こしてもPCI DSSに準拠していたことが証明されれば、損害賠償を免除するなど事業者にインセンティブが働く仕組みとなっている。

　中には既にPCI DSSへの準拠を義務化した州もある。PCI DSSへの準拠を義務付けた州は、現時点ではミネソタ州、ネバダ州、ワシントン州の3州にすぎないが、いずれの州も「州内でカード決済を行う事業者」を義務化の対象としている。このことから、その州に本社が登記されていなくても、州内に店舗を構えていれば全て対象となるため、全米に波及するという見方がある。

　従って、マクドナルドやスターバックスのように全米に店舗展開しているチェーンストアのような業態では、PCI DSSへの準拠は、もはや必須となっている。また、法律で義務化されていなくても企業をPCI DSSコンプライアンスに向かわせる大きな動機付けになっているのがカード情報を漏えいした場合の莫大な金銭的損失である。

　カード情報が漏えいすることでクレジットカードが不正使用され、金銭的損失が生じることは過去から知られている。だが、それ以外にも情報漏えいを引き起こした企業が負わなければならない費用が無視できなくなっていることがPCI DSSの普及の背景にある。

#CmsMembersControl .CmsMembersControlIn {width:100%;background:url(https://image.itmedia.co.jp/images/spacer.gif) #DDD;opacity:0.05;filter:progid:DXImageTransform.Microsoft.Alpha(Enabled=1,Style=0,Opacity=5);z-index:1;}