PCI(金融)系でない方はあまり興味が無いかと思いますが、6/11に東京国際フォーラムで開催されたPCI DSSセキュリティフォーラムに行ってきました。
去年は都合が悪く出席できませんでしたが、ここ何年かは参加している(壇上に居た事もありますが・・)セミナーとなります。JCDSC(日本カード情報セキュリティ協議会)主催で、ざっくりと言ってしまえば、国内のPCI DSS系で開かれる唯一といっても良い年次のセミナーです。
基調講演は、月間消費者信用編集長の浅見さん。よくこのセミナーの基調講演に出てらっしゃいましたが、久しぶりだった気がします。
現在の改正割賦販売法、あるいは実行計画を受けての展望といった大変興味ある視点での講演だったのですが、気になったのは最近のカード情報非保持のECサイトからのカード情報漏洩事件について、規制側(経産省、JCA・・・)は、”カード情報非保持がやられた訳ではなく、個社の責任範疇の部分がやられた”という様な認識を持っている、といった内容のコメントでした。
実際その通りなのですが、カード情報非保持を実現していれば、PCI DSS同等相当、というロジックからすれば、(事故を起こした)EC加盟店側からすれば、言われた通りカード情報保保時にしたのに・・・という想いが強くなりそうな気がしました。
実行計画2019では注意喚起部分が、その懸念に当たる部分なのですが、これ以上明確な形で追加のガイドラインが出てくる可能性は、現時点ではなさそうです。(もう少し事件が増えるとガイドラインがまた出るかも知れませんが)
実行計画の改定ポイントだと、赤線の辺りです。
なので・・・まだまだヤラレル気がします。
本部セッションは毎年満席となりますが、BSIの小島さんとPCI SSCの井原さんのQAセッションは個人的に面白かったです。
ゲストでPCI SSC(米国)からCTOのトロイ・リーチ氏が少し壇上で話されたのですが、PCI DSSv4について、このブログでも既報の通りですが、来年(2020年末)以降になりそうと言っていたのは注目すべきかなと思います。ドラフト版を見ないと何とも言えませんが。。。
余談です。とは言え、今回一番収穫があったのはココだったかも知れません。
知り合いのフォレンジック調査会社の方とも話したのですが、「毎年忙しいけれど、今年は特に忙しい」・・・現在調査中の事件も含めて相当手持ち案件を抱えている様でした。
色々な方と話せて、面白かったですし、実のある情報インプットが出来ました。その内容を細かく書く訳にはいききませんが、残念ながら、私のブログでのカード情報漏洩事件に対する分析(簡易調査)も忙しくなりそうな気配です。。。。
尚、セミナー主催のJCDSCは10周年だそうです。おめでとうございます。
更新履歴
