2020年12月24日9:00
新型コロナウイルス感染拡大のPCIへの影響
続きまして、新型コロナウイルス感染拡大はPCI基準・プログラム運営にも影響を及ぼしており、それらに対応するための臨時措置について、特に日本に影響のあるものをご紹介いたします。PCI SSCのサイトでは、コロナウイルス関連の特設サイトのリンクがあります。まず最初にPTS POIの期限延長が発表されています。PTSとは「PCI PIN Security Transaction Standard」のことです。PINはDSSでもセンシテイブデータとして高いレベルのセキュリティ要件が課せられていることはご存知の通りです。PTSの認定対象デバイスには HSM(Hardware Security Module)とPOI(Point of interaction)の2種類があります。特にPOIについては2020年6月に新しくv6.0 がリリースされました。一方で古いv3.0は2020年4月が設置期限とされていました。しかるに、今般デバイスの製造に必要なベンダーのサプライチェーンが停滞してしまい、4.0以降のデバイスの調達に支障が出てくていることが報告されました。そのためv3.0の使用期限を1年間延長し、2021年4月末までとされました。
なお、このPOI期限の考え方ですが、期限切れのPOIデバイスの使用可否については各ブランドが地域別に個別方針を定めている場合がありますので、念のため各ブランドに確認する必要があります。一般的には既存設置分については期限切れ後5年間継続使用可能ですが、期限切れ後の新規設置は不可になっています。
PINセキュリティ要件の実施期限延長やP2PE特例措置
次に、PCI PINセキュリティ要件(18-3)で規定されている「Key Block」の導入について、その対応期日を一部延期いたしました。PCI PTSでは PINブロックを安全に転送するために鍵の交換についてKey Blockと呼ばれるフォーマットの採用を要件にしています。インターナルなネットワークでの鍵の交換についてはすでに2019年に完了しています。一方で、外部ネットワークとの接続、鍵交換については2021年6月からでしたが、これを2023年1月に18か月延長しました、さらに 加盟店、POS、ATM端末との接続および鍵交換については、2023年6月を2025年1月とし、やはり18か月間延長されています。これは、2020年7月17日付でブリテンが発行されており、即日有効なっています。要件書はまだ更新されていませんが、年内にv3.1が発行されまして、その中でこれらの日付が更新される予定です。
特にPINを扱うソリューションベンダーやATMアクワイアラ、プロセッサー、ネットワークの皆さまが関係すると思います。これに併せ、P2PEの要件(18-3)でも同期をとる形で、POIについても同じくKey Blockの対応期限が延期されています。
次にP2PEについての特例措置です。P2PEは日本では加盟店の「カード情報非保持化(同等相当)」を実現できるパッケージソリューションとして位置づけられています。さらにP2PEを導入するとPCIDSS準拠までSAQ(自己問診表)のP2PE版で、残された33要件をクリアすれば完全準拠できることもあり、非常に有効な基準であり、ソリューションとなっています。そのため日本でもここ数年多くのP2PEソリューションがリリースされています。
このP2PEのプロダクツは先ほどのPOIデバイスから始まり、暗号化されたカード情報の復号化環境までを含む、ソリューション、コンポーネント、およびアプリケーションで構成されています。このプロダクツとしてのP2PEについて、各年次のリバリデーションおよび3年ごとのリアセスメントが必要とされています。しかしコロナウイルス問題の影響でこれらが期限内に間に合わない可能性がある場合に臨時措置を発表しています。
まず年次のリバリデーションについては、この復号化環境についてPCI DSSオンサイトアセスメントが必要ですが2021年6月末までに期限を迎える場合で事前に報告された場合はPCI DSSアセスメントのチェックボックスのチェック無しでも年次のAOV(バリデーション証明書)をSSCは受理します。また3年ごとのリアセスメントでは2021年6月末までに期限を迎える場合で事前申告があった場合はさらに6カ月間期限を延長します。
リモートによるオンサイト評価の実施
次にリモートによるオンサイト評価についてです。PCI DSSのアセスメントはオンサイトで実施することを前提としてテスト手順などが要件定義されていますが、コロナウイルスによる在宅勤務や出張などの移動制限のために実施が難しくなっているとの相談が各地に寄せられました。日本でもアクワイアラ、サービスプロバイダなどからオンサイトレビューができないので期限に間に合わないとの相談が寄せられていたようです。オンサイトでの診断を前提としていますが、やむを得ない場合はリモートで実施してもよいかという問合せが、審査機関からもPCI SSCにも来ていました。
本件についてPCI SSCでは「追加的ガイダンス」としてブログを投稿しています。これは日本語訳版を作成しJCDSC(日本カード情報セキュリティ協議会)のウエブサイトでご紹介させていただきました。
SSCとして表明しているのは「本来オンサイトで実施すべきレビューについてコロナウィルス感染拡大の影響などでできない場合、やむを得ずリモートで実施する場合は、それによってレビューの品質が低下しないように注意すべき」といっています。リモートで実施することにより他の要件を緩めたりセキュリテイを弱めるような対応をしてはなりません。最終的にリモートによるアセスメントが可能かどうかは、個別の状況を見ながら審査員が被監査企業と協議のうえ各要件単位で判断してください、また、リモートで実施した場合はROCなどにその経緯、理由、アセスメントの方法・内容など記録を残しておくべき、とお願いしています。
結果として、やはりオンサイトによるレビューが必要で、設定された期限に間に合わない場合は、実行計画であれば日本クレジット協会やアクワイアラ、ブランドルールに基づく期限であれば各ブランドに相談すべきとしています。PCI SSCは5ブランドと常に連携しており、コロナの状況を勘案し柔軟に対応することを表明しています。
最後に、2020年6月に東京・お台場で予定されていたオンサイトによるISA、QSAのトレーニングと資格テストは一旦キャンセルになりました。これは日本だけでなく全世界ベースでPCI SSCとして年内は安全に対面で集合研修を実現するのは困難と判断しています。というものの2021年のいつになったらオンサイトトレーニングが可能かという見通しも難しい状況です。そこで、PCI SSCでは2020年10月15日にリモートオンライン方式による日本語同時通訳を付けたISA/QSAトレーニングコースと資格認定テストを実施いたしました。その結果40名以上の方々がご参加されました。
v4.0への移行を控え、PCI DSS要件とペイメントセキュリテイに関する人材育成は大変重要な課題になっています。
中国銀聯がPCI SSCにブランドとして参画
最後になりますが、新しい情報を1つお届けします。アメリカの大統領選挙の前日になる2020年11月2日付でPCI SSCはあるニュースリリースを発表しています。当然 大統領選挙に世界中の関心が集中していた時期でしたので、メデイアで大きく取り上げられることはございませんでしたが、PCI SSCに新しく銀聯(ユニオンペイ・インターナショナル)がブランドとして参加することになりました。
さまざまな困難な状況の中、ユニオンペイ・インターナショナルは今後、国際5ブランドとともにPCI SSCの枠組みの中で、各PCI基準の策定などに参加・協力することが合意されました。これによりPCI基準はさらにグローバルな統一基準として認識され、世界各地でペイメントセキュリティのステークホルダーに貢献していくことになります。
PCI SSCはステークホルダーの皆様と緊密に連携しながら、この重要かつ困難な局面を乗り越えて、2021年をポストコロナに向けての飛躍の年にしてまいりたいと考えております。
※本記事は2020年11月13日に開催された「ペイメントカード・セキュリティフォーラム2020」のPCIセキュリティ・スタンダード・カウンシル アソシエイト・ダイレクター 日本 井原亮二氏の講演をベースに加筆/修正を加え、紹介しています。
