2019年1月9日4:30
元Visaの井原氏が日本アソシエイトディレクターに就任
ペイメントカード業界の国際的な基準管理団体であるPCI SSC(PCI セキュリティ スタンダード カウンシル)の日本アソシエイトディレクターに、井原亮二氏が就任した。井原氏は、日本国内におけるPCI関連基準の重要性についての啓発と推進に向けた奉仕活動を主導する役割を担う。
さらに多くのQSAやISAを育成へ
加盟店などのPCI DSSに対する理解を深める
――井原様は、ビザ・ワールドワイド・ジャパン(Visa)でリスク部門を統括され、イオンクレジットサービスで自社(イオンリテールも含め)の改正割賦販売法対応を先導されました。PCI SSCでアソシエイトダイレクターに就任された理由からお聞かせください。
井原:PCI DSSや接触ICクレジットカード対応は日本の法律要件になっています。2018年6月に改正割賦販売法が施行されましたが、その実務上の指針となる「実行計画」では、対面加盟店は2020年3月までに接触ICクレジットカード対応、およびPCI DSS準拠もしくは非保持化対応を目指すという期限が設けられており、東京五輪の前に作業がピークを迎えつつあります。そうした状況の中、PCI SSCとして、日本で本格的にPCI DSS準拠をサポートするためにはローカライズした人材を配置して、日本のステークホルダー、カード会社、業界団体、行政当局、ベンダーと連携しながら作り上げられた「実行計画」が計画通りに完了して、東京五輪を迎えられるようすべきだろうと考えていました。
私は、Visaでリスクマネジメントを14年、日本信販(現三菱UFJニコス)においてカード分野で10年の経験があります。また、イオンクレジットサービスでは、改正割賦販売法対応や信用リスク対応にも関わっておりました。昨年6月にPCI SSCと面談し、日本で活動していくこととなりました。
――具体的な日本での活動についてお聞かせください。
井原:PCI SSCとして、日本でPCI DSSをはじめとしたPCI基準の準拠を目指している事業者をサポートし、必要なものを供給します。1つはリソースであり、QSA(PCI DSSの認定審査機関)やISA(内部監査人)等の審査機関および審査員になるためのトレーニングする役割があります。国内の審査機関数はまだ不足しており、さらに多くのQSAやISAを育成していきたいです。また、PCI DSSのドキュメントはもちろんですが、SAQ(自己問診票)等も英語がベースになりますので、その日本語版を作ったり、トレーニングも日本語でできるように務めていきます。さらに、PCI DSSや非保持化対応をされる際、伝送時のカードデータを暗号化して安全性を高める「P2PE(Point to point Encryption)」やペイメントアプリケーション「PA-DSS」などの認定ソリューションを活用すると、PCI DSSの対応要件の数も減らすことが可能です。
もう1つは認知度や意識の向上です。PCI DSSをはじめとしたPCI基準に対する知識や理解が必ずしも十分でなく、それを深めていただくことが重要です。難易度が高い、難しいという誤解を解きながら、大型の対面のリテール事業者の方々でもやり方を工夫していただければ、目標を達成できることを具体的に示していく必要があります。
また、消費者にペイメントのセキュリティに関する理解を深めていただくことが、加盟店や関係事業者を刺激して、動かしていくことにつながります。PCI SSCとして、メディアや講演活動を通じて、広く社会にペイメントセキュリティの重要性をご理解いただきたいと考えています。
コールセンターなどの決済セキュリティのガイドを発表
スマートフォンやタブレット端末側をモバイルPOSとする基準も着手
――PCI基準の直近のアップデートについてはいかがでしょうか?
井原:2018年5月のPCI DSS Version 3.2から3.2.1へのバージョンアップでは、SSL/TLSの移行期間の終了を反映したマイナーアップデートとなっており、基本的な枠組みはほぼ変わっていません。
2018年11月には、テレフォンベースの「Protecting Telephone-based Payment Card Data」を発表しました。これは、コールセンター対応時のセキュリティの担保の方法を定めています。「実行計画」では、ボイスでのカード番号情報は非保持対応の対象外という位置づけですが、そこにリスクがないかといえば、そうではありません。
2018年1月には、スマートフォンやタブレットなど、市販デバイス(COTS)でのソフトウエアベースPIN(暗証番号)入力用の基準を発表しました。これまで、PINはハードPINが中心で、国際ブランドのペイメントカードを取り扱うATMなどではPINパッドがあり、画面でソフトPINを入力することが困難でした。また、スマートフォンやタブレットでは、外付けのデバイスでのPIN入力が必要でしたが、COTS上でのPIN入力によるEMV接触・非接触トランザクションが行えるようになります。
さらに、EMVコンタクトレス(TypeA/B)の非接触対応として、スマートフォンやタブレット端末側をモバイルPOSとして活用するときにどうするか、ヒアリングをして盛り込むべきセキュリティ要件を整理する予定です。
2017年に発表された「PCI 3-D Secure Core」は、3-Dセキュア2.0をイシュアが導入する際、ACSのプロバイダーがカード情報を扱うことを前提としたセキュリティ基準をまとめたものです。また、3-Dセキュアのソフトウェアのセキュリティ基準であるSDK(ソフトウェア開発キット)は2018年7月に発表されました。
そのほか、ソフトウェアのフレームワークが紹介されており、2019年の早い段階で発表され、PA-DSSが統合される形となります。ソフトウェアは早いテンポで更新されますので、ペイメントアプリケーションに特化するよりも、ベンダーやソリューションの単位で認定し、1つのフレームで管理することになっています。
国内での推進での成果は?
PCI DSSは準拠後の継続した運用が大切
――国内でのPCI基準の成果についてお聞かせください。
井原:間違いなく普及はしつつあると思っています。PCI SSCの立場から見ても、1つは、国内のQSAは、2015年に85名いましたが、2018年12月の段階では約140名になっています。また、ISAは、2015年は6名のみでしたが、68名に増加しました。それだけニーズがあり、トレーニングを受けた人員は増えています。改正割賦販売法で、PCI DSSが実質的な法律要件になったことが大きな要素になり、結果的に認知度が向上しています。それを機に関連団体などが説明会を開催し、PCI DSSを題材にして取り上げてくださっています。
――国内では、PCI DSS準拠企業からも情報漏えいが発生しています。また、ベライゾンの調査では、PCI DSSの準拠企業がグローバルで減少しているという統計もあります。
井原:大事なことは、PCI DSSに準拠した後に満足せず、如何に維持していくかに目を向けなくてはいけません。ブランドルールでは年に一回オンサイトレビューを受けることが求められますが、その時点での結果しかわかりませんので、合格に満足せず、セキュリティは常に警戒して、脆弱なところをモニターし、必要な対策を取っていくことが大事です。PCI SSCでは、2014年から「Best Practices for Maintaining PCI DSS Compliance」という文書で、PCI DSS準拠を維持していくための重要性について、公開しています。
