セキュリティ対策コラム　－ ソーシャルガバナンス確立に向けて －クレジットカードのセキュリティ基準【PCI DSS】（第1弾）

コーポレートガバナンス、内部統制、ITガバナンス、セキュリティガバナンスは、いずれも単独企業や関連企業グループ内に閉じて求められるガバナンスです。ソーシャルガバナンスは、社会的基盤となっているサービスについて、その社会的責任を果たすために、関連する企業群、行政等全ての関連事業体に統括的に求められるガバナンスとして筆者が新たに呼んだものです。もちろんサービスは、複数の関連企業によって提供されますので、各企業においては個々のバナンスが構築され有効に運用されていることが、ソーシャルガバナンス確立の前提となります。

昨年来建築における構造計算の改ざんが社会的な問題として話題になっております。筆者は国土交通省の検討会に参画し、情報セキュリティの面から不正回避の検討を行ってまいりました。設計建築の世界では、設計事務所、確認機関、施工事業者等々多くのプレイヤーからなっております。建築設計は人命に関わる問題ですから関連法制度を遵守しながら安全・安心な建築を提供するために、業界全体にわたる確固としたソーシャルガバナンスが求められることを強く感じたところです。

ガバナンス時代の進展（企業と社会）

（1）クレジットカード社会の進展

インターネット社会の基盤的サービスとして挙げられる、情流（物流）、商流、金流の中で特に身近に安全・安心が大きな課題になっている金流を例にとり、ソーシャルガバナンンスの一端を紹介していきます。

クレジットカードの発行枚数は、ここ10年間で、2億3000万枚から2003年度の2億6000万枚の増加に留まり、飽和状態のようです。しかし、取扱高を表す販売信用供与額は、2003年度には26兆5819億円へとここ10年間で倍増し、今後も拡大する傾向にあります。個人消費支出のクレジットカード取引の占める割合については、米国の24％という数字からみれば、日本での個人消費300兆円に占める割合は、8％のシェアしかなく、いまだ発展途上の段階のようです。

日本におけるクレジット産業の市場

※折線：カード発行枚数　棒線：販売信用供与額（出典：社団法人日本クレジット産業協会の調査結果より）

（2）クレジッカード社会の課題

一方でクレジットカードの不正使用や偽造、フィッシングをはじめとしたID詐取等クレジットカードに対する脅威が増加しています。昨年米国では4000万人分ものクレジットカード情報が漏洩するという嘗てない大規模な個人情報漏洩事件が発生したことも耳に新しいところです。

クレジット決済は拡大・定着していますが、クレジット業界は異業種による新規参入や業界再編性・機能分化が進み、新たなビジネスモデルの誕生など、取引実態も複雑・多様化し、また複数の関連事業者が介在して、役割と責任関係が必ずしも明確となっていない状況になっています。そのため、クレジット取引に関わるトラブルや個人情報を含むカード情報が漏洩するといった事態が発生しやすい状況にあるとの認識から産業構造審議会（経済産業省）でも「クレジット取引の規制対象範囲」、「与信事業における取引の適正管理」等について検討しております。

クレジットカードのセキュリティについて、従来から技術・方式的対策、管理・運用等の施策を講じてきており、また法制度も順次整備され、クレジット会社による業界一丸となったセキュリティ施策（ソーシャルガバナンス）をいくつか実行しており、一時期よりも不正は減少してきているようです。しかし依然として不正の発生は高い水準が続いており、またネット取引の増加も加わって今後ますます有効なソシャルガバナンスの構築とその運営を図る必要があるでしょう。2004年には、業界で統一されたセキュリティ基準であるPCI DSS（Payment Card Industry Data Security Standard）が発行され、関連する全事業体を対象としたセキュリティ基準として現在注目されているところです。

クレジットカードの不正の状況

（出典：社団法人日本クレジット産業協会の調査結果より）