2022年3月9日9:00

ペイメントカード業界の国際的な基準管理団体であるPCI SSC(PCIセキュリティスタンダードカウンシル)は、PCI関連基準の開発と普及に向けた支援活動を担っている。その観点から、国際的なペイメントセキュリティのニーズなどを紹介するとともに、PCI DSSバージョン4.0のポイントについて解説する。(2022年2月10日開催「ペイメントカード・セキュリティフォーラム2022」より)

PCIセキュリティスタンダードカウンシル, アソシエイトダイレクター 日本 井原亮二氏

PCI DSSが10年ぶりの大改訂
新しいテクノロジーとペイメントチャネル、新たなリスクや脅威に対応

PCI DSSはペイメントカード情報を取り扱う事業者の皆様が、取り組むべきセキュリティ基準として、グローバルに活用されています。日本では割賦販売法で規定された「クレジットカード番号等の適切な管理」のための実務上の指針となる「クレジットカードセキュリティガイドライン」の中に示されており、事実上の法律要件と見なされています。同様に多くの諸外国でも、各国の制度・枠組みの中に位置付けられています。

PCI SSC(PCI セキュリティ スタンダード カウンシル)の日本アソシエイトディレクター 井原亮二氏

このPCI DSSがペイメントセキュリティの道しるべとして、これからも有効で有益な基準であり続けるためには、新しいテクノロジーあるいはペイメントチャネル、また新たなリスクや脅威、犯罪手口などの変化に応じて対応していくための改訂が必要となります。PCI DSSバージョン4.0の策定の検討に着手したのは2018年でしたので、それから3年あまり時間が経過しています。これまでどのような検討と議論がされてきたのかを、バージョン4.0のいくつかの新要件と合わせてご紹介したいと思います。

まず最初に、PCI DSSバージョン4.0の改訂を通じて、PCI SSCが目指してきた4つのゴールを紹介します。1つ目は、ペイメント業界のニーズに継続的に対応し続けることです。そのためにPCI SSCは、これまで合計3回のRFC(Request for Comments)を実施して、PCI SSC の参加団体であるPO(Participating Organization)、あるいは認定評価機関であるQSAの方々などから延べ6,000件以上のご意見やフィードバックを受け、その1つ1つをレビューし、基準に反映させてきました。

2つ目は、セキュリティを達成するための、要件とは異なる手法を積極的に評価し支援する柔軟性を付加することです。3つ目は、継続的なプロセスとして効果的にセキュリティを維持・推進していくための手法を目指すことです。4つ目にSAQ(Self Assessment Questionnaire:自己診断票)やAOC(Attestation of Compliance:準拠証明書)などのバリデーション文書と手法を改良し、信頼性や透明性を強化することです。以下、これら4つのゴールに向けた具体的な対応についてご説明します。

3回のRFCを通じて幅広く意見を収集
ステークホルダーのフィードバックを基準策定に反映

1つ目のゴールである「ペイメント業界のセキュリティニーズへの対応」については、ペイメントエコシステムの新たな脅威を精査し、また新しいテクノロジーや新しいペイメントチャネルがPCI DSSの中でどのように活かされるべきかを検討してきました。

RFCとは、POやQSAをはじめとするPCI DSSに関係するステークホルダーに、PCIの基準やプログラムの策定および改訂に際して事前にドラフトレビューをお願いし、それぞれの立場から忌憚のないご意見をいただき、それらを反映させて手直しをしていくプロセスです。PCI SSCはこのRFCを通じてさまざまなフィードバックを受け取ります。RFCは大規模な基準変更の際には最低2回実施されます。集まったフィードバックは1つずつレビューし、必要な対応をしてまいります。そしてRFCの参加者に、その結果を提示します。各フィードバックに対してPCI SSCがどのような対応をしたのかをお返します。

今回のバージョン4.0ではこれまで3回のRFCを行いました。2019年の第1回のRFCでは153社から3,000件以上のコメント、フィードバックの提示がありました。2020年の第2回では124社から約1,800件、2021年6月の第3回では87社から約1,300件が提示されました。結果的にバージョン4.0のドラフトには合計200企業・団体から、6,300件以上のフィードバックが寄せられました。この膨大な数のフィードバックは、PCI SSCがペイメント業界の声とニーズを理解するのに大変大きな手助けになっています。またRFCに加えて、ペイメントの環境がどのように変化してきているのか、将来どのように変化するのかについて検討するため、関連業界や専門家のご意見を別途集め、検討してきました。これらによって、基準の策定を大きく前進させることができました。

パスワード、多要素認証、フィッシング対策など
既存要件の見直しと新要件によるセキュリティ強化

間もなくリリースされるバージョン4.0のいくつかの新要件をご紹介いたします。ただし、現時点ではドキュメントがまだ公開されていませんので、詳細はドキュメントがリリースされた段階であらためてご確認ください。

このコンテンツは会員限定(有料)となっております。
「Paymentnavi Pro2021」の詳細はこちらのページからご覧下さい。

すでにユーザー登録をされている方はログインをしてください。

関連記事

ペイメントニュース最新情報

トッパンの決済ソリューションをご紹介(凸版印刷)
決済シーンにdelight(ワクワク感)を!PCI P2PE 認定国内実績 No.1の「確かな信頼」を提供します(ルミーズ)

国内最大級のクレジットカード情報データベース(アイティーナビ)

現金とキャッシュレスの売上をリアルタイムに確認可能なIoTプラットフォーム「IoT Cube」/Pay BOX(飛天ジャパン)

スマホ会員証でポイントサービス。今イチオシの「VALUE GATE」(トリニティ)

不正決済対策の本質と弊社のサービス提供スタンス(スクデット)

Spayd スマートフォン、タブレットがクレジット決済端末に!(ネットムーブ)

40ブランドに対応するキャッシュレス決済ゲートウェイ事業のほか、ハウスプリペイドやクラウドPOSなどのマーケティングソリューションを提供する情報プロセシングカンパニーです。(トランザクション・メディア・ネットワークス)

DNPキャッシュレス 決済プラットフォームをご紹介(大日本印刷)

決済業界において30年以上の歴史を誇るシステムベンダー。ブランドプリペイド/デビット、クレジットの基幹プラットフォームをはじめ、幅広いサービスラインナップを用意。(エクサ)
EMVCoや国際カードブランドから認定を受けた試験機関(テュフズードジャパン)

ネットビジネスを始めた方が選ぶ「おすすめしたい」決済代行サービス部門No.1。クレジットカード決済が初めての方も切り替えの方も、事業者様のニーズに合わせて最適な決済方法をご提案します。(ゼウス)

Global Payment Technology Solutions(インコム・ジャパン)

国内最大級の導入実績を誇る決済代行事業者(GMOペイメントゲートウェイ)

非対面業界唯一!!カード会社とダイレクト接続により、安心・安全・スピーディーで質の高い決済インフラサービスを提供。Eコマースの健全な発展に貢献する決済代行事業者(ソニーペイメントサービス)

QRコードを活用したパスワードレスの認証方式で不正アクセスを未然に防止 セキュリティ課題を解決する認証サービス「認証BANK QR Auth」(セイコーソリューションズ)
チャージバック保証、不正検知・認証システムなどクレジットカード不正対策ソリューションを提供(アクル)

カードシステムシェア70%の実績「NET+1」、不正検知システム国内導入実績NO,1「ACEPlus」(インテリジェントウェイブ)

PAGE TOP