なるほど、PCI DSSの要求項目はかなり具体的に記述されているのですね。これなら何を実装していけばいいのかが具体的でわかりやすいですね。

そうですね。ただし、PCI DSSの要求項目のすべてに対応するのは、やはり簡単ではありません。今回は、PCI DSSが実装レベルまで詳細に落とし込んだ内容が記述されているということをご理解いただくために、一部をご紹介したわけですが、実際には200項目にものぼる要求事項が記述されています。ですから、すべてを初めから順番に実装していくのではなく、PCI DSSの内容を理解・確認した上で、優先順位をつけて実装を進めることを考えた方がよいでしょう。

すぐに実装を考えるというよりは、まずはご自分が担当されているシステムや運用管理状況のレベルをチェックする目的でPCI DSSを一読されることをお勧めします。日本語訳されたドキュメントは、PCIセキュリティ標準協議会のWebサイトからダウンロードできます。

Q5-  最後に、今後のPCI DSSの日本国内での展開について、考えをお聞かせください。

A5- クレジットカード情報を含む個人情報流出事故が多く発生していることもきっかけになって、PCI DSSという言葉を耳にする機会が増えてきています。また、さきほどもお話しましたが、2008年10月にバージョンアップされることが分かっています。あくまでも推測ですが、現バージョンが発行された2006年9月以降に発生したセキュリティインシデントの内容が反映されると思われますので、私たちもバージョンアップを心待ちにしています。

日本国内での認知度はまだそれほど高くないともお話ししましたが、私たちがIT実装コンサルティングをさせていただく場合でも、PCI DSSをベンチマーキングに利用するケースがあります。そういったご相談は、クレジットカード決済を実施しているサービスを提供されているお客様に限らず、他業界のお客様からであるケースも増えてきました。日本でもようやくクレジットカード業界以外のお客様が、PCI DSSをベースにしたセキュリティの実装を検討されるようになってきたということでしょう。

日本企業の特性と言ってもいいと思うのですが、まず第一に政府のガイドラインである情報セキュリティ管理基準あるいはISO/IEC27000に準拠することで、セキュリティコンプライアンス対策を行ってきたのではないかと思います。しかし、これらISMSと呼ばれるものは、あくまでも管理のガイドラインであり、具体的な対策のレベル観については自己責任、つまり「自分たちで考えてなんとかしなさい」ということになっています。勘の良い方はお気づきになられたと思いますが、PCI DSSはISMSの補完関係にあると考えることもできます。

PCI DSSを活かせば、より柔軟な思考と実行性を兼ね備えた具体的なセキュリティ対策が行えるわけで、LACとしても、ISMS、COBIT、COSO、FISCなどに続く「IT実装フレームワークにおける要素の1つ」としてPCI DSSを積極的に活用していこうと考えています。私たちLACは、多くの企業がPCI DSSの活用を通じて、より強固な情報セキュリティ対策が講じられるようお手伝いしていきたいですね。

（終）