2008年10月26日日曜日

クレジットカード産業のセキュリティ標準

Enterprise Watch」様に「アハ体験」できる記事がありました。
タイトルにもあるように「クレジットカード産業に用いられているセキュリティ基準」に関するもので、「PCI DSS」と呼ばれるものです。

この「PCI DSS」とは、日本でも有名なクレジットカード会社で国際的にも広く使うことのできるブランド「VISA」と「Master Card」によって、2004年12月に米国で策定された標準/基準となります。
PCI DSS」とは、「Payment Card Industry Data Security Standard」の略であり、和訳すると「支払カード産業のデータセキュリティ標準」みたいになります。

この「PCI DSS」は、云わば「業界標準」を定めたものであって法的強制力は無い。
しかし、最近では浸透しつつもあり、米国では準拠する必要がある州も出てきたようです。

内容の一部が記事にも公開されており、パッとみると…。
大量の個人情報を扱う場合にも必須となるような内容になっています。
日本では「個人情報保護法」と「Pマーク」で保護されているように感じられますが、これは大間違いだろう。
記事にも触れられていますが、「カード情報」は「個人情報保護法」による「個人情報」に該当しないのである。
よって、「Pマーク」を掲示されても「カード情報」をも保護しているとは限らないのである。
これには驚きましたょ~正直なところ。

それと、後編の最後として「割賦販売法」にも触れられている。
割賦販売法」には、セキュリティ対策に直結する情報保護が求められる部分と、今までの法律では抜け穴とされる「貸出上限と調査徹底」とがあるとされています。
情報保護については業界からも異論はあっても賛同する方向になるのは誰もが想像できる。
しかし、「貸出上限と調査徹底」は物議を醸しているそうである。これには疑問が生じてしまうのは私だけだろうか…。
日本を大不況時代に陥れたのは官製もあるようだが、金融業界の甘い貸出基準そのものにもあったのではないだろうか…。
それを業界は拒んでいる…やはり金貸側としては無理を承知で貸し出すことが仕事と思っているようです。
一消費者としてはそうした事態は防いで欲しいのだが…。
カード勧誘が頻繁に多くなっていると感じている方は、こうした背景があり、法改正前に契約したい業界の思惑と思って頂きたい。

VISAに聞く、実装レベルのカードセキュリティ基準「PCI DSS」【前編】
(http://enterprise.watch.impress.co.jp/cda/special/2008/10/23/13956.html)

VISAに聞く、実装レベルのカードセキュリティ基準「PCI DSS」【後編】
(http://enterprise.watch.impress.co.jp/cda/special/2008/10/24/14001.html)

週末雑貨 affilie
(http://affilie.ntym.net/)

0 件のコメント: