ビザとマスターカード、大手販売業者にセキュリティ対策を義務付け

　米国ではデータ流出事件が相次いで発生し、世間の注目を集めている。こうした事態を受け、多くの販売業者は、情報セキュリティ対策を講じるようクレジットカード会社から圧力をかけられている。

　この取り組みを主導しているのは、MasterCard InternationalとVisa USA。両社は、大手販売業者に対し、新しく定められた業界標準ガイドラインの「Payment Card Industry（PCI） Data Security Standard」に対応するよう、6月30日の期限付きで要求している。同ガイドラインは、消費者のデータを保護する目的で定められたもので、これに従わない販売業者は、罰金を含む罰則の対象となる。

　クレジットカード会社各社は以前より販売業者に対し、データ保護対策を強化するよう要求してきた。しかし、Polo Ralph Laurenと靴小売業のDSWで先頃発生したクレジットカード情報の盗難事件は、オンラインとオフラインの販売業者が持つ危険性を浮かび上がらせた。

　「興味深いのは、オンラインの環境と現実界の環境に衝突が見られる点だ」とMasterCardのEビジネスおよび先端技術担当バイスプジデントJohn Verdeschiは述べる。「電子時代においては、データがさまざまな方法でネットワークを横断している。そのため現在では、データが通るすべてのチャンネルにおける安全の確保について関心が集まっている」（Verdeschi）。

　今や、オンライン犯罪を心配すべき業者はAmazon.comやeBayだけではなくなった。データ盗難の手口は巧妙化し、ネットワークは複雑化している。それとともに、ショッピングモールや通りに店舗を構える業者も、オンライン犯罪に巻き込まれる危険性が増している。販売業者は、これまでより多くの消費者データを収集し、ビジネスパートナーと共有するようになっており、このことが問題に与える影響力をさらに大きくしている。

　PCI Data Security Standardは、インターネットでの攻撃の危険性を減少させる目的で、MasterCard InternationalとVisaによって策定された。このガイドラインでは、企業に対し、ファイアウォールの設置やメッセージの暗号化、コンピュータアクセス制御、ウイルス対策ソフトの利用が義務付けられている。また同ガイドラインの下では、企業はセキュリティ監査やネットワーク監視を頻繁に行う必要があり、またデフォルトのパスワードを使用してはならないことになっている。同ガイドラインの普及を難しくしているのは、販売業者、銀行、および第三者トランザクション処理業者など支払いに関係する企業すべてが対象となっている点だ。

　年間2万以上の取引を処理する企業は、自社ネットワークを四半期毎にチェックしたり、年次監査を行ったりするなどして、ガイドラインへの対応状況を調べ、認定を取得する必要がある。専門家によると、世界中の何十万もの販売業者に同ガイドラインが適用されることになる。