クレジットカード情報を扱うセキュリティ基準『PCI DSS』が新版に

無線通信のセキュリティが不十分だったことが原因と報じられた TJX の一件をはじめ、数々のデータ漏洩事件が大きく報道されたことを受け、クレジットカード業界はセキュリティ基準の強化を図っている。

業界基準を統括する PCI Security Standards Council は18日、クレジットカード取引を行なう業者用のセキュリティ基準『Payment Card Industry Data Security Standard』(PCI DSS) のバージョン1.2について、更新内容の概要を発表した。PCI によれば、10月から PCI DSS は新バージョンに移行するという。

PCI は PCI DSS バージョン1.2について、「大きな新要件は導入せず、項目の明確化を進めた」だけと述べているが、重要な変更点もある。更新版では、6月30日に義務化された PCI DSS 要件項目6.6が、必須要件として記述される。

バージョン1.2では、無線セキュリティ プロコトル『Wired Equivalent Privacy』(WEP) に関する記述を削除し、より新しい『IEEE 802.11x』規格を支持する内容となる。また、リムーバブル電子メディア、Eメール、Web、ノートパソコン、PDA が、セキュリティ ポリシー適用対象例として新たに加わる。そのほか、PCI DSS が適用される会社の従業員を対象としたセキュリティ要件も厳しさを増す。

PCI DSS バージョン1.2は、9月の第1週に加盟組織に提供され、9月23日から25日にかけてフロリダ州オーランドで開催する PCI のコミュニティ会議で詳細について議論を行なう。10月22日から23日にベルギーのブリュッセルで開催するもう1つのコミュニティ会議では、さらなる議論が交わされる予定だ。

オンデマンド脆弱性管理およびポリシー遵守ソリューションの Qualys で、PCI ソリューション マネージャを務める Sumedh Thakar 氏は、取材に対して次のように述べた。「(新バージョンの) 背景にある考えは、新たな要件を追加することではなく、ある種の明確化により、セキュリティ実施方法において確実な変化を導くことになるというものだ」