2017年9月19日10:48
ペイメントカードの国際セキュリティ基準である「PCI DSS(Payment Card Industry Data Security Standard)。PCI SSC(The PCI Security Standards Counsil)によると、グローバルでのPCI DSS の準拠状況を見ると、日本は米国、欧州の次の段階に当たるという。これは、各国でのPCI DSS の推進状況によるものであるそうだ。
近年は、日本でもPCI DSS の推進がより強化されているが、「犯罪者はさらに高いレベルまでいってしまっている」と、PCI SSC インターナショナル・ディレクターのジェレミー・キング(Jeremy King)氏は話す。アジアでは、オーストラリアは普及が進んでおり、日本も推進中だ。PCI SSCでは、マレーシアやタイ・バンコクの政府に加え、中国などを訪問し説明しているという。
さらに、近年は、国内おいてPoint to Point 暗号化(P2PE)プログラムの監査資格である「P2PE QSA」も増えてきた。キング氏は、「P2PE の暗号化されたデータは、カード会員データは犯罪者が入手する価値がないものになりますので、この採用は助かります。加盟店がEMV 化に移行する中で、最新のPCI PTS ターミナルを手に入れることにより、暗号化ができる機能を手に入れるわけです」と話す。また、PCI P2PE 対応の端末が普及すれば、セキュリティを強化できるとともに、最新のモバイル決済等への対応も可能になることもプラスだとした。
グローバルなセキュリティ対策の課題として、全世界のサイバーセキュリティの専門家は100 万人足りないことを挙げた。そのため、PCI SSCでは、QSA の一歩手前の若手に向け、「アソシエイトQSA」を開始する予定だ。アソシエイトQSA は、現在、プログラムの策定中であり、2018 年1 月以降の公開を予定している。
なお、自社内でPCI DSS準拠の審査を担当できるISA (Internal Security Assessor:内部監査人)の育成講習会が、11月15日、16日に東京で開催される。PCI DSSの内部監査人になることは、所属組織内部で専門組織を身につけ、PCI DSSへの準拠を評価することが可能だ。すでに国内でも内部監査人が存在している。
今回の講習会では、対象組織の資格ある監査人が、組織のPCI DSSに関する理解の向上、組織と認定セキュリティ評価期間(QSA)とのやり取りの円滑化、組織内部のPCI DSS自己問診の品質・信頼性、一貫性の向上、PCI DSSの手法と管理を一貫して適切にできるようにするための、トレーニングおよび認定を受ける機会を提供するそうだ。
PCI DSSに準拠した大手サービスプロバイダや加盟店では、QSAの訪問審査を受けるのが一般的だったが、ISAの資格のある内部監査人がいる企業や団体では、ISAの監査でPCI DSSの準拠が可能だ。また、QSAの審査の前に、自社内でのカードセキュリティ体制を監査するのにも役立つだろう。
なお、PCI SSC は、2015 年10 月14 日、15 日に東京で「PCIアジア太平洋コミュニティミーティング」を開催したが、2018 年5月23日、24日のミーティングも日本で行われる予定だ。
PCI SSCでは、ペイメントセキュリティを進める中で、日本は中核的な国だと考えている。そして、日本の加盟店やそのほかの組織がPCI 基準を採用する本当に重要な時期であるとしており、その目標を達成できるようにできる限りの支援をしていきたいとした。
(書籍「ペイメントカード情報セキュリティ対策の仕組み」の内容などを編集し、最新情報を加えて紹介)
