【今読んでおきたい】PCI DSS準拠に立ちはだかる２つの課題とは

2020年の東京オリンピック・パラリンピックを控え、安全なクレジットカードの利用環境を整えるための改正割賦販売法が2018年6月にいよいよ施行されようとしています。本法では、従来とは異なり加盟店も含めた対策の義務化がうたわれており、従来よりも多くの企業がその対応を迫られています。

改正割賦販売法で定められたカード情報の漏洩対策の具体策については、クレジット取引セキュリティ対策協議会が策定した「クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画2017」にまとめられております。
カード情報の漏洩対策の方針としては、①PCI DSS準拠もしくは ②カード情報の非保持化のいずれかを実施し、適切な対策を実施する必要があることとなります。
今回はこの①PCI DSS準拠に焦点を当て、課題を探っていきます。

PCI DSS準拠には現状の把握から審査の完了まで、大きく９つのステップを踏む必要があります。
標準的にはこれらのステップを実施すると１２か月程かかりますが、社内の調整や調達に関わる決裁等により、プロジェクトがさらに伸びるようなケースもあるのが実態です。

次に実際の準拠における課題を見ていきましょう。

はじめに触れたとおり、PCI DSS準拠には一般的に１２か月程度の時間がかかるといわれます。
実際にプロセスごとに見てみると、各フェーズで以下のような期間が必要とされます。

ただし、上記については、比較的スムーズにいくことを想定したスケジュールであり、対策実施において予定以上の構築が発生した、コンペをした結果スムーズに進まないなど、様々な要因により長期化するようなケースがあります。
また、見落とされがちなのは、コンサルタントに準拠支援を依頼した際に、低価格故に支援範囲が少ない、経験が少ないため効率が悪いなどの要素で準拠スケジュールが伸びてしまうようなケースもあります。

PCIDSS準拠は、一度審査に通ったら恒久的に認定が受けられるものではありません。定期的な監査が存在し、維持するための負担があります。
例えば、定常運用や定期診断なども審査後実施していく必要があり、これらに対応するための運用要員が必ず必要となってきます。
多くの企業が人手不足にあえぐ中で、これらの維持に自社内の人的リソースのみに頼ることは大きな負担になっていくことは間違いありません。

PCIDSS準拠対応については、コストや人的リソースなどを検討した上で、将来的にも自社の要員で対応していくか、専門業者などに委託するなどを検討する必要があります

今回、PCI DSS準拠を目指す企業に立ちはだかる、現実的な２つの課題をとりあげてみました。
当たり前のこと、と見えてしまいますが、実際着手してみてこんなはずではなかったという声も聞かれますので、ぜひ押さえておきたいポイントです。

また、今回は課題を取り上げましたが、その課題を克服するためにできることは何か、具体的にまとめた虎の巻をご用意しています。
課題をお持ちの方、こちらも一読してみてください。