2020年12月24日9:00

新型コロナウイルス感染拡大のPCIへの影響

続きまして、新型コロナウイルス感染拡大はPCI基準・プログラム運営にも影響を及ぼしており、それらに対応するための臨時措置について、特に日本に影響のあるものをご紹介いたします。PCI SSCのサイトでは、コロナウイルス関連の特設サイトのリンクがあります。まず最初にPTS POIの期限延長が発表されています。PTSとは「PCI PIN Security Transaction Standard」のことです。PINはDSSでもセンシテイブデータとして高いレベルのセキュリティ要件が課せられていることはご存知の通りです。PTSの認定対象デバイスには HSM(Hardware Security Module)とPOI(Point of interaction)の2種類があります。特にPOIについては2020年6月に新しくv6.0 がリリースされました。一方で古いv3.0は2020年4月が設置期限とされていました。しかるに、今般デバイスの製造に必要なベンダーのサプライチェーンが停滞してしまい、4.0以降のデバイスの調達に支障が出てくていることが報告されました。そのためv3.0の使用期限を1年間延長し、2021年4月末までとされました。

なお、このPOI期限の考え方ですが、期限切れのPOIデバイスの使用可否については各ブランドが地域別に個別方針を定めている場合がありますので、念のため各ブランドに確認する必要があります。一般的には既存設置分については期限切れ後5年間継続使用可能ですが、期限切れ後の新規設置は不可になっています。

PTS POI期限延長

PINセキュリティ要件の実施期限延長やP2PE特例措置

次に、PCI PINセキュリティ要件(18-3)で規定されている「Key Block」の導入について、その対応期日を一部延期いたしました。PCI PTSでは PINブロックを安全に転送するために鍵の交換についてKey Blockと呼ばれるフォーマットの採用を要件にしています。インターナルなネットワークでの鍵の交換についてはすでに2019年に完了しています。一方で、外部ネットワークとの接続、鍵交換については2021年6月からでしたが、これを2023年1月に18か月延長しました、さらに 加盟店、POS、ATM端末との接続および鍵交換については、2023年6月を2025年1月とし、やはり18か月間延長されています。これは、2020年7月17日付でブリテンが発行されており、即日有効なっています。要件書はまだ更新されていませんが、年内にv3.1が発行されまして、その中でこれらの日付が更新される予定です。

特にPINを扱うソリューションベンダーやATMアクワイアラ、プロセッサー、ネットワークの皆さまが関係すると思います。これに併せ、P2PEの要件(18-3)でも同期をとる形で、POIについても同じくKey Blockの対応期限が延期されています。

PCI PINセキュリティ要件の実施期日延長

次にP2PEについての特例措置です。P2PEは日本では加盟店の「カード情報非保持化(同等相当)」を実現できるパッケージソリューションとして位置づけられています。さらにP2PEを導入するとPCIDSS準拠までSAQ(自己問診表)のP2PE版で、残された33要件をクリアすれば完全準拠できることもあり、非常に有効な基準であり、ソリューションとなっています。そのため日本でもここ数年多くのP2PEソリューションがリリースされています。

このP2PEのプロダクツは先ほどのPOIデバイスから始まり、暗号化されたカード情報の復号化環境までを含む、ソリューション、コンポーネント、およびアプリケーションで構成されています。このプロダクツとしてのP2PEについて、各年次のリバリデーションおよび3年ごとのリアセスメントが必要とされています。しかしコロナウイルス問題の影響でこれらが期限内に間に合わない可能性がある場合に臨時措置を発表しています。

まず年次のリバリデーションについては、この復号化環境についてPCI DSSオンサイトアセスメントが必要ですが2021年6月末までに期限を迎える場合で事前に報告された場合はPCI DSSアセスメントのチェックボックスのチェック無しでも年次のAOV(バリデーション証明書)をSSCは受理します。また3年ごとのリアセスメントでは2021年6月末までに期限を迎える場合で事前申告があった場合はさらに6カ月間期限を延長します。

リモートによるオンサイト評価の実施

次にリモートによるオンサイト評価についてです。PCI DSSのアセスメントはオンサイトで実施することを前提としてテスト手順などが要件定義されていますが、コロナウイルスによる在宅勤務や出張などの移動制限のために実施が難しくなっているとの相談が各地に寄せられました。日本でもアクワイアラ、サービスプロバイダなどからオンサイトレビューができないので期限に間に合わないとの相談が寄せられていたようです。オンサイトでの診断を前提としていますが、やむを得ない場合はリモートで実施してもよいかという問合せが、審査機関からもPCI SSCにも来ていました。

本件についてPCI SSCでは「追加的ガイダンス」としてブログを投稿しています。これは日本語訳版を作成しJCDSC(日本カード情報セキュリティ協議会)のウエブサイトでご紹介させていただきました。

SSCとして表明しているのは「本来オンサイトで実施すべきレビューについてコロナウィルス感染拡大の影響などでできない場合、やむを得ずリモートで実施する場合は、それによってレビューの品質が低下しないように注意すべき」といっています。リモートで実施することにより他の要件を緩めたりセキュリテイを弱めるような対応をしてはなりません。最終的にリモートによるアセスメントが可能かどうかは、個別の状況を見ながら審査員が被監査企業と協議のうえ各要件単位で判断してください、また、リモートで実施した場合はROCなどにその経緯、理由、アセスメントの方法・内容など記録を残しておくべき、とお願いしています。

結果として、やはりオンサイトによるレビューが必要で、設定された期限に間に合わない場合は、実行計画であれば日本クレジット協会やアクワイアラ、ブランドルールに基づく期限であれば各ブランドに相談すべきとしています。PCI SSCは5ブランドと常に連携しており、コロナの状況を勘案し柔軟に対応することを表明しています。

最後に、2020年6月に東京・お台場で予定されていたオンサイトによるISA、QSAのトレーニングと資格テストは一旦キャンセルになりました。これは日本だけでなく全世界ベースでPCI SSCとして年内は安全に対面で集合研修を実現するのは困難と判断しています。というものの2021年のいつになったらオンサイトトレーニングが可能かという見通しも難しい状況です。そこで、PCI SSCでは2020年10月15日にリモートオンライン方式による日本語同時通訳を付けたISA/QSAトレーニングコースと資格認定テストを実施いたしました。その結果40名以上の方々がご参加されました。

v4.0への移行を控え、PCI DSS要件とペイメントセキュリテイに関する人材育成は大変重要な課題になっています。

中国銀聯がPCI SSCにブランドとして参画

最後になりますが、新しい情報を1つお届けします。アメリカの大統領選挙の前日になる2020年11月2日付でPCI SSCはあるニュースリリースを発表しています。当然 大統領選挙に世界中の関心が集中していた時期でしたので、メデイアで大きく取り上げられることはございませんでしたが、PCI SSCに新しく銀聯(ユニオンペイ・インターナショナル)がブランドとして参加することになりました。

さまざまな困難な状況の中、ユニオンペイ・インターナショナルは今後、国際5ブランドとともにPCI SSCの枠組みの中で、各PCI基準の策定などに参加・協力することが合意されました。これによりPCI基準はさらにグローバルな統一基準として認識され、世界各地でペイメントセキュリティのステークホルダーに貢献していくことになります。

PCI SSCはステークホルダーの皆様と緊密に連携しながら、この重要かつ困難な局面を乗り越えて、2021年をポストコロナに向けての飛躍の年にしてまいりたいと考えております。

※本記事は2020年11月13日に開催された「ペイメントカード・セキュリティフォーラム2020」のPCIセキュリティ・スタンダード・カウンシル アソシエイト・ダイレクター 日本 井原亮二氏の講演をベースに加筆/修正を加え、紹介しています。

▶▶▶前編に戻る

関連記事

ペイメントニュース最新情報

ポータブル決済端末、オールインワン決済端末、スマート決済端末、新しい決済端末3製品をリリースしました(飛天ジャパン)

国内最大級のクレジットカード情報データベース(アイティーナビ)

「お金の流れを、もっと円(まる)く」決済ゲートウェイ事業のパイオニアとして、強固なシステムでキャッシュレス決済を次のステップへと推進します。(ネットスターズ)

国内最大級の導入実績を誇る決済代行事業者(GMOペイメントゲートウェイ)

決済シーンにdelight(ワクワク感)を!PCI P2PE 認定国内実績 No.1の「確かな信頼」を提供します(ルミーズ)
電子マネー、クレジット、QR・バーコード、共通ポイントなど、多数のキャッシュレス決済サービスをワンストップで提供(トランザクション・メディア・ネットワークス)
決済領域を起点に多様なビジネスニーズに応える各種ソリューションを提供(インフキュリオン)
ReD ShieldやSift等の不正検知サービスを提供し、お客様の不正対策を支援(スクデット)
BtoCもBtoBも。クレジットカード決済を導入するならSBIグループのゼウスへ。豊富な実績と高セキュリティなシステムで貴社をサポートいたします。(ゼウス)
TOPPANの決済ソリューションをご紹介(TOPPANデジタル)
多様な業界のニーズに対応した、さまざまなキャッシュレス・決済関連サービスを提供する総合決済プロバイダー(DGフィナンシャルテクノロジー)
決済業務の完全自動化を実現する「Appian」とクレジット基幹プラットフォームを合わせてご紹介!(エクサ)
チャージバック保証、不正検知・認証システムなどクレジットカード不正対策ソリューションを提供(アクル)

非対面業界唯一!!カード会社とダイレクト接続により、安心・安全・スピーディーで質の高い決済インフラサービスを提供。Eコマースの健全な発展に貢献する決済代行事業者(ソニーペイメントサービス)

stera terminalでお店のポイントがつけられる「VALUE GATE」(トリニティ)

Spayd スマートフォン、タブレットがクレジット決済端末に!(ネットムーブ)

DNPキャッシュレス 決済プラットフォームをご紹介(大日本印刷)

PAGE TOP