PCI コンプライアンスに関連する４つの誤解

PCI DSS（Payment Card Industry Data Security Standard、クレジットカード業界のセキュリティ基準）へのコンプライアンスは、基準への誤解も多く、あまりうまくはかどっていません。

PCI DSS は、単に PCI と呼ばれることも多いですが、連邦政府が規定した基準だと誤解している人もいます。この基準は、2004年に Visa、MasterCard、Discover、American Express、JCB によって作成されたものです。

PCI は、これらのクレジットカード会社のネットワークだけでなく、銀行や商業サービスのプロバイダにも適用されます。PCI コンプライアンス違反が直接罰金の対象となることはありませんが、クレジットカードのデータが盗まれるようなことがあると、組織は莫大な罰金を科されたり、訴訟を起こされたりする可能性があります。

クライアントが PCI コンプライアンスを達成できるよう支援する過程で、PCI に関していくつもの誤解があることが判明しました。このブログでは、多くの組織が真実だと思っているらしい、よくある4つの誤解について説明します。

誤解 #1 – PCI DSS コンプライアンスは、内部リソースで達成可能

PCI を含め、あらゆる規制には、コンプライアンスに関して独自の微妙な勘所のような部分があります。内部リソースとして、以前にコンプライアンスを完全に達成したことのある経験者がいない限り、できればその業界内で他の企業のコンプライアンス達成を支援した外部リソースに頼る必要があるでしょう。

コンプライアンスの達成は、セキュリティ管理の詳細なドキュメントに大きく依存しています。また、すべてのセキュリティギャップが存在する場所、機密データが公開されている場所を把握し、それらのギャップをどのように埋めるのかを計画する必要があります。

社内の担当者が、セキュリティ上の特定のリスクに気付かないことは珍しいことではありません。時間が経過すれば、新しい脅威が社内ですでに行われているコントロールにどのように影響するかを考慮することを忘れることもあります。

社内の IT 部門は「何を知らないのかを知らない」ことが多く、セキュリティコントロールを PCI DSS コンプライアンス要件に正しくマッピングできません。外部のコンサルタントとの協業によって、社内では気づかなかった新しい視点から見直すことができ、業界のベストプラクティスを適用して、知る必要があるすべてが明確になります。

誤解 #2 – 違反後に監査を受けても、自社で監査処理可能

IRS の監査を受ける場合、すべて社内で対処できますか、それとも会計士に委託しますか？これは修辞的な質問ですが、PCI コンプライアンス監査にも同じことが言えます。

コンプライアンスを達成するために外部コンサルタントの協力を得るのと同じように、違反後に監査を受けた場合も同じことを行う必要があります。セキュリティコントロールに関して隅々まで熟知していないと、あるいは既知のセキュリティギャップを埋めるための進捗状況を示すことができなければ、監査人から制圧されることがあります。

また、税法の場合と同様に、PCI DSS コンプライアンス要件は様々に解釈できる可能性があります。セキュリティコントロールが実装されている範囲と、コントロールがデータを保護する程度に関しては、主観的な意見が入り込みます。

ですから、セキュリティコントロールと PCI 要件の両方を熟知している専門家の後押しを得ることが最善です。さらに、監査人が情報を誤って解釈したり、規制の範囲を広げ過ぎたりする可能性も否定できないので、そのようなことがあれば、論理的に反駁できる人が必要です。

誤解 #3 – PCI コンプライアンスが達成されていれば訴訟を免れることが可能

PCI コンプライアンスが達成された後であっても、データ侵害が発生すれば、複数の当事者から訴訟を起こされる可能性はあります。当事者には、クレジットカード処理者、カードを発行した銀行、そして個人データが盗まれた顧客が含まれます。

通常、支払い処理業者は、システムが侵害の原因であると判断された場合、責任を負いません。しかし、どのネットワークが侵害の原因だったのかを証明するには、セキュリティフォレンジックの専門知識が必要です。この点も、外部コンサルタントに支援を依頼することが理にかなっている理由の１つになります。侵害の原因について意見の不一致があれば、独立した第三者の監査人が侵害が発生した原因を調査して、判定する必要があります。

ただ、それでも、PCI コンプライアンスは、法的にも強力な防御策になります。裁判所は、事前にとっていた保護対策を詳しく調べ、怠慢だったから知っておくべきセキュリティリスクを見落としていたのかどうかを厳密に判断しようとします。PCI 規格への準拠が証明できれば、セキュリティ対策をしっかり行おうとしていたと好意的に受け取られ、裁判官の心証を良くする可能性がはるかに高くなります。

誤解 #4 – PCI コンプライアンスの主なメリットは罰金と悪評の回避

クレジットカード決済システムが侵害され、PCI に準拠していないことが判明すれば、規制当局から厳しい罰則が科せられる可能性が非常に高くなります。また、データ侵害が公表され、顧客のクレジットカード情報への保護に怠慢だという悪い評判が立てば、大きな打撃になります。罰金や悪評を避けられるなら、もちろんそれに越したことはありません。

しかし、PCI コンプライアンスに注目する人たちは、主要なメリットを別のところに見出しています。クレジットカードデータの保護に真剣に取り組んでいることを示して、顧客や、クレジットカードのトランザクション処理データを共有するビジネスパートナーからの信頼感を深めることで得られるメリットは大きいものです。

クレジットカードの処理に関して不安を感じることがない顧客やパートナーが増えれば、収益創出に直結する可能性もあります。

コンプライアンス達成へのツール

PCI コンプライアンスの達成のために外部コンサルタントに支援を要請することに加えて、日常的にコンプライアンスを維持するのに役立つセキュリティツールを利用することも大切です。世界の多くのIT部門では、安全なファイル転送を行いコンプライアンスを満たすためのツールとして、プログレスの MOVEit が利用されています。

プログレスのホワイトペーパー、「IT管理者ガイド：情報セキュリティとコンプライアンス」では、ISO/IEC 27001/2、PCI DSS、GDPRなどの、重要な規制について概説しており、IT ネットワークを常にコンプライアンス徹底し、セキュアに保つことを要求される IT 管理者の方々には、是非ご参考いただきたいドキュメントです。