2023年4月20日8:00
2022年にリリースされたPCI DSS v4.0は、本格的な準拠対応の段階に入っている。これを踏まえて、PCI SSCが目指す2023年の活動について解説する。(2023年3月7日開催「ペイメントカード・セキュリティフォーラム2023」より)
PCIセキュリティ・スタンダード・カウンシル(PCI SSC)
アソシエイトダイレクター・日本 井原 亮二氏
昨年PCI DSS v4.0がリリース
移行期間は2024年3月末日まで
PCI SSCは、2018年から昨年まで4年間にわたり、PCI DSS v4.0の策定とリリースのために大きくリソースを集中させてまいりました。その間、基準書の英語版のリリースを皮切りに、付属文書の策定、さらに、それらの翻訳版を作成し、リリースしてまいりました。また、変更点につきましては、解説のためのシンポジウムやセミナーを開催したり、教育用のビデオコンテンツを作成したりしてきました。一方では、QSA(認定審査機関)、ISA(内部監査人)のような評価者の皆様向けに、PCI DSS v4.0への移行のトレーニングなどを行って、移行への受け皿の整備をしてまいりました。
PCI SSCとしては、ここでPCI DSS v4.0のプロジェクトにひとつの区切りをつけまして、2023年は次の課題に取り組んでまいりたいと考えています。それは、PCI SSC自身の組織改革と、新たなペイメントテクノロジーへの対応、そしてPCI基準に対するより多くの理解・参加の輪を広げていくことです。今回はこの2023年のPCI SSCの取り組みについて、ご紹介させていただきます。
まず、PCI DSS v4.0の最新状況についてご説明いたします。2022年の3月31日にPCI DSS v4.0の基準書および変更点のまとめというドキュメントの英語版がリリースされました。その後、準拠証明書(AOC)や、自己診断表(SAQ)といったドキュメントがリリースされています。それぞれ数カ月遅れで、日本語版がPCI SSCのサイトでリリースされました。
PCI DSS は、英語以外に、6カ国語のドキュメントがつくられています。ドイツ語、フランス語、スペイン語、ポルトガル語、中国語、そして日本語です。この中で単一国のみで使われている言語は日本語だけです。日本語版は日本のみで使われると想定されています。
PCI SSCは、このPCI DSSが日本において、法律要件と結び付く重要な位置付けにあると理解しています。日本のステークホルダーは、この遵守のためにPCI DSS v4.0の良質な日本語版を必要としておりまして、PCI SSCはその作成に向けて日本国内のステークホルダーと協力・連携してきました。まずPCI SSCが日本語版のドラフトを作成し、クレジット取引セキュリティ対策協議会の中に立ち上げられた、QSAの皆様で構成されるQSAワークショップに提出し、日本のQSAの皆様による日本語のレビューを受け、手直ししたものを、PCI SSCに戻していただき、PCI SSCのサイトからリリースさせていただきました。このような、PCI SSCとローカルなステークホルダーが協力・連携していくモデルというのは、PCI SSCが各国で目指している姿でもあります。
PCI DSS v4.0基準書本体の英語版は2022年3月にリリースされたわけですが、その時点から24カ月の移行期間に入っています。この移行期間中はv3.2.1とv4.0のどちらかで準拠できていれば問題ありません。2024年3月末で移行期間が終了すると、v3.2.1は引退し、以降はv4.0のみの対応が求められることになります。あと1年と少しです。ただし、v4.0の新要件は64項目あるのですが、そのうち51項目には未来日付が付いています。特に設備投資やそのほかのコストがかかる可能性がある要件については、未来日付が付けられています。それらについてはもう1年、2025年3月末まではベストプラクティスということになります。2025年4月からは、すべて要件として扱われるというかたちになります。
一方でQSA、ISAのような資格者の皆様には、昨年7月からv3.2.1からv4.0への評価者向けの移行トレーニングが行われています。英語版からスタートしましたが、2023年1月から日本語版のトレーニングもリリースされました。新規のQSA、ISAの皆様向けには、2023年の年初からv4.0でのトレーニングが行われています。これについても日本語のテキストと日本語の同時通訳付きのコースを、現在準備しています。
モバイル決済セキュリティ基準
「MPoC」を用いてスマホやタブレットを決済端末として活用
このコンテンツは会員限定(有料)となっております。
詳細はこちらのページからご覧下さい。
すでにユーザー登録をされている方はログインをしてください。