セキュリティのニュースを見ていて非常に気になったニュースがありましたので、記事にしていきます。

カードセキュリティの実行計画2019年版 – 非保持でも対策の必要性言及

なお、内容については個人的な意見も含まれていますので、あらかじめご了承ください。

ニュースの概要

なお、経済産業省に以下のページが開設されており、添付資料の「本編」と「概要版」もありますので合わせて確認頂くと良いと思います。（セキュリティ業界の方は読むことは必須かなと）

クレジットカード取引におけるセキュリティ対策の強化に向けた「実行計画2019」を取りまとめました

概要

経済産業省の資料を基に簡単な概要をまとめていきます。（特に加盟店に重点を置きます。）
※ここは少し違うよというのがあればご指摘を頂けると助かります。

まずは、カード情報を非保持の加盟店に対しての内容が大きな課題となっているということです。（以下、経済産業省概要版の表）

これについては、非保持であってもカード情報が加盟店から漏洩している事実に基づいてからですね。

実際に私のニュースでも取り上げたことがあります。

今治タオルの通販サイト改ざんのニュース

また、保持していないつもりでも知らない間にデータベースやWebサーバ、CMSのログに記載されてしまっている場合もあります。

なので、加盟店でもちゃんとセキュリティ対策する必要があるという認識があり、それをルール化する必要があったので今回の動きになったのかと考えています。

実際に加盟店からの漏洩はかなり多いようです。以下に徳丸さんの日記の記事の内容を取り上げますが、2018年で公表されているものでもかなりの数があります。

2018年に公表されたウェブサイトからのクレジットカード情報漏えい事件まとめ

ただし、ここに載っているサイトがセキュリティを軽視していたわけではないと考えています。

昨今の風潮でセキュリティを無視することは自殺行為に等しいです。

セキュリティ対策は費用がかかります。企業によっては必要な費用として計算できない場合もあるかと思います。

なので、どうにかして安く抑えたいところではありますが、現在はセキュリティ会社は様々な会社があり、良し悪しを判断するにも知識が必要です。

自社で用意するにしても各企業が求めるセキュリティエンジニアは絶対数が少ないため、用意するのも難しい可能性があります。

今後、カード会社、サイト運営会社、セキュリティ会社共に色々な動きがありそうですね。
※値段であったり、サービスであったり大きな動きがありそうですね。

この件については、また個人的に調査等が進みましたら記事にしたいと考えています。

不明点や要望やこういったこともやって欲しいとの要望があれば、お問い合わせページやコメント、ツイッターからでも結構ですので、気軽にご連絡ください。