2022年3月9日9:00

ペイメントカード業界の国際的な基準管理団体であるPCI SSC(PCIセキュリティスタンダードカウンシル)は、PCI関連基準の開発と普及に向けた支援活動を担っている。その観点から、国際的なペイメントセキュリティのニーズなどを紹介するとともに、PCI DSSバージョン4.0のポイントについて解説する。(2022年2月10日開催「ペイメントカード・セキュリティフォーラム2022」より)

PCIセキュリティスタンダードカウンシル, アソシエイトダイレクター 日本 井原亮二氏

PCI DSSが10年ぶりの大改訂
新しいテクノロジーとペイメントチャネル、新たなリスクや脅威に対応

PCI DSSはペイメントカード情報を取り扱う事業者の皆様が、取り組むべきセキュリティ基準として、グローバルに活用されています。日本では割賦販売法で規定された「クレジットカード番号等の適切な管理」のための実務上の指針となる「クレジットカードセキュリティガイドライン」の中に示されており、事実上の法律要件と見なされています。同様に多くの諸外国でも、各国の制度・枠組みの中に位置付けられています。

PCI SSC(PCI セキュリティ スタンダード カウンシル)の日本アソシエイトディレクター 井原亮二氏

このPCI DSSがペイメントセキュリティの道しるべとして、これからも有効で有益な基準であり続けるためには、新しいテクノロジーあるいはペイメントチャネル、また新たなリスクや脅威、犯罪手口などの変化に応じて対応していくための改訂が必要となります。PCI DSSバージョン4.0の策定の検討に着手したのは2018年でしたので、それから3年あまり時間が経過しています。これまでどのような検討と議論がされてきたのかを、バージョン4.0のいくつかの新要件と合わせてご紹介したいと思います。

まず最初に、PCI DSSバージョン4.0の改訂を通じて、PCI SSCが目指してきた4つのゴールを紹介します。1つ目は、ペイメント業界のニーズに継続的に対応し続けることです。そのためにPCI SSCは、これまで合計3回のRFC(Request for Comments)を実施して、PCI SSC の参加団体であるPO(Participating Organization)、あるいは認定評価機関であるQSAの方々などから延べ6,000件以上のご意見やフィードバックを受け、その1つ1つをレビューし、基準に反映させてきました。

2つ目は、セキュリティを達成するための、要件とは異なる手法を積極的に評価し支援する柔軟性を付加することです。3つ目は、継続的なプロセスとして効果的にセキュリティを維持・推進していくための手法を目指すことです。4つ目にSAQ(Self Assessment Questionnaire:自己診断票)やAOC(Attestation of Compliance:準拠証明書)などのバリデーション文書と手法を改良し、信頼性や透明性を強化することです。以下、これら4つのゴールに向けた具体的な対応についてご説明します。

3回のRFCを通じて幅広く意見を収集
ステークホルダーのフィードバックを基準策定に反映

1つ目のゴールである「ペイメント業界のセキュリティニーズへの対応」については、ペイメントエコシステムの新たな脅威を精査し、また新しいテクノロジーや新しいペイメントチャネルがPCI DSSの中でどのように活かされるべきかを検討してきました。

RFCとは、POやQSAをはじめとするPCI DSSに関係するステークホルダーに、PCIの基準やプログラムの策定および改訂に際して事前にドラフトレビューをお願いし、それぞれの立場から忌憚のないご意見をいただき、それらを反映させて手直しをしていくプロセスです。PCI SSCはこのRFCを通じてさまざまなフィードバックを受け取ります。RFCは大規模な基準変更の際には最低2回実施されます。集まったフィードバックは1つずつレビューし、必要な対応をしてまいります。そしてRFCの参加者に、その結果を提示します。各フィードバックに対してPCI SSCがどのような対応をしたのかをお返します。

今回のバージョン4.0ではこれまで3回のRFCを行いました。2019年の第1回のRFCでは153社から3,000件以上のコメント、フィードバックの提示がありました。2020年の第2回では124社から約1,800件、2021年6月の第3回では87社から約1,300件が提示されました。結果的にバージョン4.0のドラフトには合計200企業・団体から、6,300件以上のフィードバックが寄せられました。この膨大な数のフィードバックは、PCI SSCがペイメント業界の声とニーズを理解するのに大変大きな手助けになっています。またRFCに加えて、ペイメントの環境がどのように変化してきているのか、将来どのように変化するのかについて検討するため、関連業界や専門家のご意見を別途集め、検討してきました。これらによって、基準の策定を大きく前進させることができました。

パスワード、多要素認証、フィッシング対策など
既存要件の見直しと新要件によるセキュリティ強化

間もなくリリースされるバージョン4.0のいくつかの新要件をご紹介いたします。ただし、現時点ではドキュメントがまだ公開されていませんので、詳細はドキュメントがリリースされた段階であらためてご確認ください。

このコンテンツは会員限定(有料)となっております。
「Paymentnavi Pro2021」の詳細はこちらのページからご覧下さい。

すでにユーザー登録をされている方はログインをしてください。

関連記事

ペイメントニュース最新情報

ポータブル決済端末、オールインワン決済端末、スマート決済端末、新しい決済端末3製品をリリースしました(飛天ジャパン)

国内最大級のクレジットカード情報データベース(アイティーナビ)

「お金の流れを、もっと円(まる)く」決済ゲートウェイ事業のパイオニアとして、強固なシステムでキャッシュレス決済を次のステップへと推進します。(ネットスターズ)

国内最大級の導入実績を誇る決済代行事業者(GMOペイメントゲートウェイ)

決済シーンにdelight(ワクワク感)を!PCI P2PE 認定国内実績 No.1の「確かな信頼」を提供します(ルミーズ)
電子マネー、クレジット、QR・バーコード、共通ポイントなど、多数のキャッシュレス決済サービスをワンストップで提供(トランザクション・メディア・ネットワークス)
決済領域を起点に多様なビジネスニーズに応える各種ソリューションを提供(インフキュリオン)
ReD ShieldやSift等の不正検知サービスを提供し、お客様の不正対策を支援(スクデット)
BtoCもBtoBも。クレジットカード決済を導入するならSBIグループのゼウスへ。豊富な実績と高セキュリティなシステムで貴社をサポートいたします。(ゼウス)
TOPPANの決済ソリューションをご紹介(TOPPANデジタル)
多様な業界のニーズに対応した、さまざまなキャッシュレス・決済関連サービスを提供する総合決済プロバイダー(DGフィナンシャルテクノロジー)
決済業務の完全自動化を実現する「Appian」とクレジット基幹プラットフォームを合わせてご紹介!(エクサ)
チャージバック保証、不正検知・認証システムなどクレジットカード不正対策ソリューションを提供(アクル)

非対面業界唯一!!カード会社とダイレクト接続により、安心・安全・スピーディーで質の高い決済インフラサービスを提供。Eコマースの健全な発展に貢献する決済代行事業者(ソニーペイメントサービス)

stera terminalでお店のポイントがつけられる「VALUE GATE」(トリニティ)

Spayd スマートフォン、タブレットがクレジット決済端末に!(ネットムーブ)

DNPキャッシュレス 決済プラットフォームをご紹介(大日本印刷)

PAGE TOP