▽旅行業界は「問い合わせ少ない」、さらなる浸透が必要

武藤氏の講演の様子 　来年に施行される改正割賦販売法は、安全なクレジットカードの利用環境の実現に向けて、加盟店などにカード情報の非保持化（電磁的情報として送受信しないこと）もしくはPCI DSSの準拠を義務化。明確な罰則規定は設けていないものの、EC（電子商取引）加盟店は18年3月まで、対面加盟店はオリンピックイヤーの20年3月までに対応を完了すべきとしている。そのほか、最新の攻撃手法に対応したセキュリティ対策の改善や強化を不断に実施することも求める。

　IATAの文書では公認代理店に対して、次世代の決済システムである「NewGen ISS（IATA Settlement Systems）」の実施予定日である来年の3月1日までに、PCI DSSを準拠することを義務化。NewGen ISSでは支払手段としてクレジットカードを使用するため、公認代理店は準拠しない場合、航空券の発券ができなくなる。なお、IATAは現時点では準拠の証明書などの提出を課したり、ペナルティを設定したりはしていない。

　武藤氏の説明によれば、PCI DSSにおける要求事項の数は約400。そのなかの必要な項目のすべてをクリアして初めて「PCI DSSに準拠している」と宣言することができる。認定されるためには専門の審査機関（QSA）による訪問審査を受けるか、自己問診に回答して申告する2つの方法があり、このうち訪問審査については、日本国内に約10社あるBSIグループジャパンや富士通などのQSAの力を借りることとなる。自己問診については、全項目に「はい」と回答することができ、担当役員が署名した問診票がカード会社か決済プロバイダーに受理されれば認定される。

　なお、武藤氏は「400項目をすべて準拠するわけではない」と述べ、ファイアウォールによる不要なネットワークの分離などにより、準拠に必要な項目数を減らせることを説明。実績のあるコンサルタントやQSAのアドバイスを仰いで「安く、早く、確実に、手戻りなく」準拠をめざすことを提案した。自己問診については、コンサルティング料などを節約できるメリットがあることについて述べた上で「ただし、事故などが起きれば担当役員の責任が問われる。自己問診票への署名は重い」と強調。慎重さと確実さを求めた。

　セミナー終了後に本誌の取材に応えた武藤氏は「今後は業界を問わず、カード情報を取り扱う企業はすべてPCI DSSを準拠しなくてはいけないが、旅行業界は他業界に比べて問い合わせが少ない」とコメント。旅行業界においては、まだまだPCI DSS準拠の重要性が浸透していないとの見方を示した。また、昨年にジェイティービー（JTB）が、不正アクセスによる個人情報流出の可能性について発表したことなどについて言及した上で「カード情報は換金性が高く、国際犯罪組織などのターゲットになっている」と警鐘を鳴らした。