日経BP社のWebサイト「IT Pro」の2月25日付記事「『パスワードは90日ごとの変更』が義務づけられる!?」によりますと、米国では有力なカード・ブランド会社5社が2004年12月に共同で策定した情報セキュリティの規準「PCIDSS(PCIデータセキュリティ規準)」が、広がりを見せているとのことです。
もともと、PCIDSSは情報システムからのカード情報の漏洩を防ぐために定められたもので、「カード会員データを保護するためにファイアウォールを導入し、最適な設定を維持すること」など、明確な要件を定義している点が特徴とのことです。

国内では、情報セキュリティの認証規格として、ISMS認証が広がりを見せていますが、このISMS認証は、絶対的な基準は一切ないため、情報セキュリティに対して取り組んでいて、PDCAサイクルを回していることは確認できるものの、どの程度のレベルの情報セキュリティを目指しているかは各事業者の判断に任されており判断基準にはなりません。

このPCIDSSは、その点、「パスワードは英数字の組み合わせからなる7文字以上とし、90日ごとに変更すること」などと非常に具体的に規定しているため、一つの絶対基準となる点で、ISMS認証を補完する役割が期待できます。

PCIDSSは、マサチューセッツ州、ミネソタ州、カリフォルニア州など州法レベルでの法制化が始まっていて、カード情報を取り扱う各企業はこれらを必ず実施しなければならない状況になりつつあるとのことです。

クレジットカード情報の取扱いについては、経済産業省のガイドラインでも特別に取り上げられているような状況がありますので、今後、国内にもこの勢いが波及してくる可能性もあります。

http://itpro.nikkeibp.co.jp/article/OPINION/20080220/294287/

※JCBのサイトで情報が掲載されていますので、ご紹介します。
 リンク先には日本語でのPCIDSSの本文が掲載されています。

http://www.jcb-global.com/pci/index.html



●週に一回程度、更新情報をお届けします。
こちらからメールアドレスをご登録ください。
(まぐまぐのシステムを利用しています)