クレジットカード情報漏えい事故調査機関「PFI」に認定

～各種オンラインサービスにおけるクレジットカード情報漏えい事故の調査およびカード取引再開の支援が可能に～

　GMOサイバーセキュリティ byイエラエ株式会社(以降、当社)は、2022年7月27日（水）に、クレジットカードの国際的なセキュリティ基準であるPCI DSS^（※1）の開発、管理、教育、および認知を行うPCI SSC^（※2）から、カード情報漏えい事故を取り扱う調査機関であるPFI^（※3）として認定されました。

　この認証取得により、各種オンラインサービスをはじめとするクレジットカード情報漏えい事故に対し、PCI DSSに準拠したフォレンジック調査や、カード取引再開の支援が可能となりました。

^（※1）Payment Card Industry Data Security Standard
^（※2）PCI Security Standard Council
^（※3）PCI Forensic Investigator

【国際的なセキュリティ機関（PCI SSC）に認められたフォレンジック機関（PFI）】

　クレジットカードの情報漏えい事件は、被害状況に応じた損害補償や一定期間の営業停止など、クレジットカード加盟店に重大な影響を与えるため、通常のフォレンジック調査と比較して、被害の影響をより正確に調査することが求められます。

　当社は、これまで国内外のハッキングコンテストで入賞したホワイトハッカーによる攻撃者の視点を活かした「デジタルフォレンジック・インシデントレスポンス」「CSIRT支援」などインシデント対策サービスを提供してまいりました。今回当社がPFIとして認定を受けた理由は以下、過去の実績の評価によるものと認識しています。

■ GMOサイバーセキュリティ byイエラエの強み

• 長期的に多数の事故対応およびCSIRT支援実績があること
• PCI SSCの定める審査機関であるQSA^（※4）を取得していること
• 専門的で技術力が高い攻撃者の視点を持つセキュリティエンジニアが所属していること

^（※4）Qualified Security Assessorの略で、PCI DSSへの準拠性について監査し、証明するための認定審査機関

【認定取得の背景】

　近年、新型コロナウイルス感染拡大によるオンライン決済の増加に伴い、クレジットカードの不正利用被害が増加しています。日本クレジットカード協会の調査^（※5）によると2022年1-3月の不正利用被害額は100.1億円であり、前年同期比で35.8 % 増加しています。特にカード番号の盗用に関する被害は前年同期比で37.7 %増加するなど大きく増加しています。

　クレジットカードの情報漏えい事件が起きた加盟店は国際的なセキュリティ基準（PCI DSS）において、フォレンジック機関（PFI）により事件発生の事実を調査することが義務付けられています。PFIによる事実調査が完了するまで加盟店はクレジットカードを利用した営業活動が再開できません。

　不正利用被害が増える一方で、国内のPFIは不足しており、現在調査を行うためには数か月待ちになっている加盟店も存在しています。早期の復旧に向けてPFIへの早期相談ができる体制の構築は、クレジットカード加盟店にとって重要な経営課題となっています。

　既存事業で培った攻撃者の視点によるフォレンジック技術の強みを活かし、当社のお客様でもあるクレジットカード加盟店の皆様の重要な経営課題を解決することが、『誰もが犠牲にならない社会を創る』という当社のミッションにつながる取り組みであると考え、今回の認定取得に至りました。

^（※5）一般社団法人日本クレジットカード協会『クレジットカード不正利用被害の発生状況』
URL：https://www.j-credit.or.jp/download/news20220630c1.pdf

【今後の展望】

　今回の取得に伴い、「GMOサイバーセキュリティ インシデント対策」における「デジタルフォレンジック・インシデントレスポンス」「CSIRT支援」においてPCI DSSに準拠したコンサルティングサービスおよびフォレンジック調査を提供可能となりました。また認定支援機関（QSA）である強みを活かし、ＥＣ事業者やオンラインサービス事業者などのクレジットカード加盟店に対して、対策計画・支援～審査までワンストップでPCI DSSに準拠する効果的な対策のご提案をいたします。

本件に関するプレスリリースはこちら
URL：https://prtimes.jp/main/html/rd/p/000003691.000000136.html