PCIコンプライアンスの完全準拠率6年ぶりの低下

ベライゾンジャパンは、「2018年版ベライゾンペイメントセキュリティ報告書(PSR)」を発表した。この報告書では、コンプライアンス評価に失敗し、完全なコンプライアンスを維持できていない企業が多く存在していることを報告している。


ベライゾンは、ペイメント業界コンプライアンス調査報告書の発行を通じて、過去6年間にわたって、PCIデータセキュリティ国際標準規格「PCI DSS」コンプライアンスにおける改善点について指摘し、その重要性について周知してきた、報告書ではPCI DSSへの完全準拠の割合が低下していることが報告されている。

PCI DSSは、クレジットカードによる決済を受け付けている企業の支払いシステムを、クレジットカード会員データの侵害や盗難から保護することを目的としている。ベライゾンのデータ漏洩/侵害調査報告書「DBIR(Data Breach Investigations Report)」シリーズが示す通り、PCI DSSコンプライアンスは、支払いシステムをクレジットカード会員データの侵害および盗難の両方から保護するものだ。

ベライゾンのPCI DSS認定セキュリティ審査員「QSAs(qualified security assessors)」が2017年中に収集したデータでは、グローバル企業における2017年のPCIの完全準拠率が2016年の55.4%から、52.4%に低下しているということが示されている。

地域によって差異があるものの、77.8%のアジア太平洋地域の企業が完全準拠を達成する一方、ヨーロッパ(46.4%)や北中南米(39.7%)の準拠率は低調となっている。これらの差異は、準拠をスタートするタイミング、受賞や認められることに対する文化的な賞賛、あるいはITシステムの成熟度・完成度といったことに起因する可能性があるという。

ビジネスセクター別では、コンプライアンスに関してはITサービスがトップの座を維持しており、4分の3を超える企業(77.8%)が完全準拠を達成している。小売り業(56.3%)、金融サービス(47.9%)は、準拠状態の維持率が最も低かったサービス業(38.5%)を大きく引き離している。

例えば、European Data Protection Regulation(GDPR:EU一般データ保護規則)といったデータ保護に関する法規制の要件を満たすために、PCI DSS準拠への取り組みを推進する企業がある中、日々電子決済を行う様々なビジネスセクター間で、準拠率に非常に大きな隔たりが存在するという。