PCIDSSはネットワークの安全確保を中心に、カード会員データの保護、アクセス制御手法など12の要件に基づいた、具体的な要求事項で構成されています。
ISMS（ISO27001）やプライバシーマークのマネジメントシステム(JISQ15001)と比較すると、PCIDSSはクレジットカード情報保護の範囲に特化し、かつ深さが要求されているのが特徴です。
例えば、情報にアクセスするためのパスワードについて、各ユーザーにどのようなルールで設定させればよいか、という基準をISMSと比較してみましょう。

ISMSでは要求事項9.(3).�@に、次のように書かれています。

「パスワードの選択及び使用に際して、正しいセキュリティ慣行に従うことを、利用者に要求すること」

では「正しいセキュリティ慣行」とは何なのでしょうか。
それは各企業の事業内容や業務の形態、守るべき情報の重要度によっても異なるため、具体的に定めていないのです。それぞれの企業が、自社の状況やリスクの度合いを洗い出し、合理的な判断のもとにルールを決めて、社内に徹底すればよい、という考え方がISMSです。
これは、企業側が主体性と自己責任意識をもってルールを定めるには、有効な考え方といえますが、すべてのセキュリティに100％の完璧を求めることは難しく、リスクとコストのバランスも考えなければなりません。すべてに万全を期せば、確かに安全性は高くなりますが、「鶏肉に牛刀」のようなコストの使い方では、過剰な投資になったり、効率性の問題が発生したりする弊害が大きくなってしまいます。

ではこのパスワードの設定に関する、PCI DSSの要求事項を見てみましょう。

・数字と英字の両方を含むパスワードを使用する。
・パスワードの長さは、少なくとも７文字にする。
・パスワードは少なくとも90日ごとに変更する。
・直近４回使用されたパスワードは、新しいパスワードとして使用できないようにする。
・ユーザーＩＤのロックアウトにより、連続したアクセス試行を６回以内に制限する。
・ロックアウト時間は最低30分間、またはアドミニストレーターが許可するまでとする。
・セッションのアイドル時間が15分を超えた場合、パスワードの入力を再び要求する。

など、ISMSとは対照的に、具体的な方法までかなり細かく規定されていることが分かります。情報漏洩が、金銭的な事故に直結する可能性が大きいクレジットカードですから、取扱い事業者にはこれだけ厳しいセキュリティを要求しないと、カードを利用するお客様の安全を守れないというのが、国際カードブランドの一致した考え方なのです。


※原稿提供：日本オフィス・システム株式会社