Tweet

31社が総会に参加

クレジット情報を守る「日本カード情報セキュリティ協議会」発足

2009/04/21

　「日本カード情報セキュリティ協議会（Japan Card Data Security Consortium：略称JCDSC）」が4月21日、正式に発足した。NTTデータ・セキュリティが中心となって運営していた設立準備会は4月21日、31社の参加企業とともに第1回総会を開催し、事務局と運営委員を選定した。

日本の「改正割賦販売法」と世界の「PCI DSS」の悩ましい関係

NTTデータ・セキュリティ PCI推進室室長 鍋島聡臣氏

　協議会総会において、日本オフィス・システム コンサルティング推進室の森大吾氏が日本のカードセキュリティの現状を解説した。2008年6月に成立した改正割賦販売法では、原則に当たる部分は経済産業省で決め、具体的な設定基準などを定めた細則は国が認定した業界団体、割賦販売協会で決める。その認定割賦販売協会として、日本クレジット協会が4月1日に発足している。

　現状のカード情報セキュリティの基準は、原則に当たる政令の部分では「安全管理や従業者の監督」「不正使用の防止策」「漏えいの再発防止に必要な措置」を定めよ、というような抽象的な内容にとどまっている。さらに施行規則では「過剰規制とならないような規制内容とする」という表現が存在し、具体的な規則までにはなっていない。これらの抽象的な表現についてはパブリックコメントでも質問が集中したという。

日本オフィス・システム コンサルティング推進室 森大吾氏

　これらを受け日本クレジット協会が細則を作ることになるが、ここにグローバルなカードセキュリティ基準である「PCI DSS」が関係してくる。政令の部分ではあくまで「国のルール」として作られているが、実際に企業が守るべき細則では、世界中で使われているカードブランド業界のルールを無視することはできない。PCI DSSと日本クレジット協会で作る細則をいかに融合していくかが、発足したJCDSCの役割であると森氏は述べた。

　JCDSCはカード情報の安全性向上に寄与するため、PCI DSS審査に関係する団体やITベンダ、カード情報を取り扱う関係各社が連携するための組織。第1回の総会では事務局としてNTTデータ・セキュリティおよび日本オフィス・システムの2社が承認され、事務局長としてNTTデータ・セキュリティ PCI推進室室長の鍋島聡臣氏が選出された。分科会として、日本でQSA（Qualified Security Assessor：認定セキュリティ評価機関）資格を持つメンバーで構成されるQSA部会も発足した。

改正割賦販売法に伴うセキュリティ基準の構造。PCI DSSで定められる項目は細則レベルに相当する

　第1回総会に参加した企業は以下の31社。

• eCure
• Knowledge & Strategy, Inc
• NRIセキュアテクノロジーズ
• RSAセキュリティ
• TIS
• ウィプロ・リミテッド
• シマンテック
• 日立システムアンドサービス
• ブロードバンドセキュリティ
• ベリサーブ
• ラック
• グローバルセキュリティエキスパート
• 住商情報システム
• ソフトバンク・テクノロジー
• テュフ・ラインランド・ジャパン
• トリップワイヤ・ジャパン
• バンクテック・ジャパン
• ペンタセキュリティシステムズ
• 伊藤忠テクノソリューションズ
• プロティビティジャパン
• 京セラコミュニケーションシステム
• 国際マネジメントシステム認証機構
• 大日本印刷
• 日本NCR
• 日本アイ・ビー・エム
• 兼松エレクトロニクス
• 日本セーフネット
• BSIマネジメントシステムジャパン
• 三和コムテック
• 日本オフィス・システム★
• NTTデータ・セキュリティ★

（順不同。★は本年度の事務局を担当）