2023年にPCI SSCが目指す方向とステークホルダーとの連携強化の取り組み(上)

2023年4月20日8:00

2022年にリリースされたPCI DSS v4.0は、本格的な準拠対応の段階に入っている。これを踏まえて、PCI SSCが目指す2023年の活動について解説する。(2023年3月7日開催「ペイメントカード・セキュリティフォーラム2023」より)

PCIセキュリティ・スタンダード・カウンシル(PCI SSC) 
アソシエイトダイレクター・日本 井原 亮二氏

昨年PCI DSS v4.0がリリース
移行期間は2024年3月末日まで

PCI SSCは、2018年から昨年まで4年間にわたり、PCI DSS v4.0の策定とリリースのために大きくリソースを集中させてまいりました。その間、基準書の英語版のリリースを皮切りに、付属文書の策定、さらに、それらの翻訳版を作成し、リリースしてまいりました。また、変更点につきましては、解説のためのシンポジウムやセミナーを開催したり、教育用のビデオコンテンツを作成したりしてきました。一方では、QSA(認定審査機関)、ISA(内部監査人)のような評価者の皆様向けに、PCI DSS v4.0への移行のトレーニングなどを行って、移行への受け皿の整備をしてまいりました。

PCIセキュリティ・スタンダード・カウンシル(PCI SSC) 
アソシエイトダイレクター・日本 井原 亮二氏

PCI SSCとしては、ここでPCI DSS v4.0のプロジェクトにひとつの区切りをつけまして、2023年は次の課題に取り組んでまいりたいと考えています。それは、PCI SSC自身の組織改革と、新たなペイメントテクノロジーへの対応、そしてPCI基準に対するより多くの理解・参加の輪を広げていくことです。今回はこの2023年のPCI SSCの取り組みについて、ご紹介させていただきます。

まず、PCI DSS v4.0の最新状況についてご説明いたします。2022年の3月31日にPCI DSS v4.0の基準書および変更点のまとめというドキュメントの英語版がリリースされました。その後、準拠証明書(AOC)や、自己診断表(SAQ)といったドキュメントがリリースされています。それぞれ数カ月遅れで、日本語版がPCI SSCのサイトでリリースされました。

*すべての日付は現在の見通しに基づいており変更があり得ます。(出典:PCI SSCの資料より)

PCI DSS は、英語以外に、6カ国語のドキュメントがつくられています。ドイツ語、フランス語、スペイン語、ポルトガル語、中国語、そして日本語です。この中で単一国のみで使われている言語は日本語だけです。日本語版は日本のみで使われると想定されています。

PCI SSCは、このPCI DSSが日本において、法律要件と結び付く重要な位置付けにあると理解しています。日本のステークホルダーは、この遵守のためにPCI DSS v4.0の良質な日本語版を必要としておりまして、PCI SSCはその作成に向けて日本国内のステークホルダーと協力・連携してきました。まずPCI SSCが日本語版のドラフトを作成し、クレジット取引セキュリティ対策協議会の中に立ち上げられた、QSAの皆様で構成されるQSAワークショップに提出し、日本のQSAの皆様による日本語のレビューを受け、手直ししたものを、PCI SSCに戻していただき、PCI SSCのサイトからリリースさせていただきました。このような、PCI SSCとローカルなステークホルダーが協力・連携していくモデルというのは、PCI SSCが各国で目指している姿でもあります。

PCI DSS v4.0基準書本体の英語版は2022年3月にリリースされたわけですが、その時点から24カ月の移行期間に入っています。この移行期間中はv3.2.1とv4.0のどちらかで準拠できていれば問題ありません。2024年3月末で移行期間が終了すると、v3.2.1は引退し、以降はv4.0のみの対応が求められることになります。あと1年と少しです。ただし、v4.0の新要件は64項目あるのですが、そのうち51項目には未来日付が付いています。特に設備投資やそのほかのコストがかかる可能性がある要件については、未来日付が付けられています。それらについてはもう1年、2025年3月末まではベストプラクティスということになります。2025年4月からは、すべて要件として扱われるというかたちになります。

一方でQSA、ISAのような資格者の皆様には、昨年7月からv3.2.1からv4.0への評価者向けの移行トレーニングが行われています。英語版からスタートしましたが、2023年1月から日本語版のトレーニングもリリースされました。新規のQSA、ISAの皆様向けには、2023年の年初からv4.0でのトレーニングが行われています。これについても日本語のテキストと日本語の同時通訳付きのコースを、現在準備しています。

モバイル決済セキュリティ基準
「MPoC」を用いてスマホやタブレットを決済端末として活用

このコンテンツは会員限定(有料)となっております。
詳細はこちらのページからご覧下さい。

すでにユーザー登録をされている方はログインをしてください。

関連記事

ペイメントニュース最新情報

決済領域を起点に多様なビジネスニーズに応える各種ソリューションを提供(インフキュリオン)
ReD ShieldやSift等の不正検知サービスを提供し、お客様の不正対策を支援(スクデット)
「お金の流れを、もっと円(まる)く」決済ゲートウェイ事業のパイオニアとして、強固なシステムでキャッシュレス決済を次のステップへと推進します。(ネットスターズ)

国内最大級のクレジットカード情報データベース(アイティーナビ)

現金とキャッシュレスの売上をリアルタイムに確認可能なIoTプラットフォーム「IoT Cube」/Pay BOX(飛天ジャパン)

BtoCもBtoBも。クレジットカード決済を導入するならSBIグループのゼウスへ。豊富な実績と高セキュリティなシステムで貴社をサポートいたします。(ゼウス)
TOPPANの決済ソリューションをご紹介(TOPPANデジタル)
多様な業界のニーズに対応した、さまざまなキャッシュレス・決済関連サービスを提供する総合決済プロバイダー(DGフィナンシャルテクノロジー)
決済業務の完全自動化を実現する「Appian」とクレジット基幹プラットフォームを合わせてご紹介!(エクサ)

国内最大級の導入実績を誇る決済代行事業者(GMOペイメントゲートウェイ)

チャージバック保証、不正検知・認証システムなどクレジットカード不正対策ソリューションを提供(アクル)
電子マネー、クレジット、QRコード、共通ポイント、ハウスプリペイドなど、43サービスをご提供(トランザクション・メディア・ネットワークス)

非対面業界唯一!!カード会社とダイレクト接続により、安心・安全・スピーディーで質の高い決済インフラサービスを提供。Eコマースの健全な発展に貢献する決済代行事業者(ソニーペイメントサービス)

決済シーンにdelight(ワクワク感)を!PCI P2PE 認定国内実績 No.1の「確かな信頼」を提供します(ルミーズ)
stera terminalでお店のポイントがつけられる「VALUE GATE」(トリニティ)

Spayd スマートフォン、タブレットがクレジット決済端末に!(ネットムーブ)

DNPキャッシュレス 決済プラットフォームをご紹介(大日本印刷)

PAGE TOP