メールマガジン登録
Rss X-twitter Facebook-f

PCI基準の最新動向と2020年に向けた取り組み(上)

2019年6月4日8:00

PCIセキュリティ スタンダード カウンシル(PCISSC)はペイメントセキュリティの国際的な基準とプログラムの開発・管理に加え、加盟店・サービスプロバイダー・カード会社などがペイメントセキュリティを向上させるための取組みを支援しております。本講演では、PCI SSCの概要とPCI基準の最新動向、2020年に向けた日本での取組みについて紹介します。

PCIセキュリティスタンダードカウンシル(PCI SSC)日本アソシエイトダイレクター 井原 亮二氏

PCI セキュリティ スタンダード カウンシル (PCI SSC) の概要

来年の東京オリンピックまであと500日を切りましたが、2020年3月12日に東京オリンピックのための聖火ランナーのリレーが始まります。3月26日には福島に上陸して47都道府県を回り、7月24日に新国立競技場に来るということで、オリンピックの準備もいよいよ大詰めですが、一方で、東京オリンピックを標的としたサイバー攻撃も実はすでに報告されています。例えばチケット販売のフェイクサイト、フィッシングメールなど、すでにいろいろ起きています。翻って、3年前に、ブラジルのリオデジャネイロ・オリンピックがございましたが、当時の現地のお話を聞いてみると、やはり開催の2年程前からいろいろな攻撃があったそうです。その意味で日本では、2015年からクレジット取引セキュリティ対策協議会が立ち上げられて、実行計画が作られましたが、このような問題を見越していち早く取り組まれた素晴らしい活動だったと考えています。

PCIセキュリティスタンダードカウンシル(PCI SSC)日本アソシエイトダイレクター 井原 亮二氏

PCIセキュリティスタンダードカウンシルは、頭文字を取ってPCI SSCと呼んでいます。PCI DSSのDSSは、データ・セキュリティ・スタンダードです。このスタンダード、基準を管理・運営している組織がPCISSCです。私はPCI SSCの一員としてアジアで初めて採用されまして、この日本の官民を挙げた取り組みを支援していく役割を担っているわけですが、これは今回の取り組みがある意味、アジアのモデルとなって、手本となれるような、国際的な期待の表れでもあると考えています

今回は「PCI基準の最新動向と2020年に向けた取り組み」というテーマでお話しますが、PCI SSCが日本でこのようなオープンフォーラムでお話をするのは、実は今回が初めてとなりますのでまずは、PCI SSCについてご紹介します。

PCI DSSができたのは、2004年12月です。国際5ブランド(アメックス、ディスカバー、JCB、Mastercard、Visa)が共同でこの基準を作り発表しました。それから1年半後の2006年6月に、それを管理・運営する機関として、同じ5ブランドが、このPCI SSCという組織を立ち上げました。そういう関係もあって、現在でも国際5ブランドがPCI SSCのガバナンスを管理しており、大きな意思決定はすべて、この5ブランドで構成されるエグゼクティブ・コミッティーで承認を得て、活動しています。セキュリティは、ブランドの競合関係を乗り越えて、協力・連携をしていくべき課題であるとの考え方に基づいています。

PCI SSCのミッションは、非常にシンプルです。関連事業者のペイメントデータの安全な管理を支援していきます。この目的を達成するための柱となる考え方、方針を3つ掲げています。1つは、セキュリティを向上させるための、国際的・業界横断的な努力です。脆弱な地域や業界、企業が残ると、そこに犯罪が集中しますので、関係者全員が同じ立場で取り組むことが大事です。2つ目に、業界主導による柔軟で効果的な基準と制度です。実際に作られた基準も、取り組む事業者側の理解と協力がないと普及しないため、さまざまな要望を積極的に取り込んでいます。3つ目は、犯罪者の攻撃や情報流出の予防、検知、影響の緩和です。予防だけではなく、実際に攻撃があったときに、それをいち早く検知して被害を最小限に抑える考え方も、基準の中に織り込んでいくべきです。そういう意味では、多面的、重層的な基準にしていく必要があります。

具体的に、PCI SSCが提供できるリソースとして、基準、認定プログラム、トレーニング、教育用ツールがあります。中でも基準は、PCI DSSを筆頭に、現在14の基準がございますが、大きく3つに分類をしています。1つは、決済用装置、ハードウェアです。例えばPINを入力するデバイス、HSMなど、ハードウェアに関する基準があります。それに対してソフトウェアでは、P2PE、PA-DSSなどがこのカテゴリーに入ってきます。3つ目の決済環境は、漠然とした言葉ですが、カード情報を扱ういわゆる体制、運用、処理、管理とか、そういう環境全体を指しており、これはまさにPCI DSSでいろいろな要件を規定しています。

これらの基準について準拠していることを、テストを通じて確認し、合格したソリューションを認定しています。また、認定したものPCI SSCのサイトで広くご紹介ししています。

もう1つ、人材育成の観点で、例えばPCI基準に関する理解者、あるいはPCI DSSの準拠状況を評価する評価者、評価する機関がトレーニングを受けていただき、最終的に認定しています。

一方、カード情報を取り扱う事業者から見たときに、セキュリティ対策の基本は「人材」「プロセス」、「テクノロジー」の3つになります。

「人材」は、組織の中にペイメントセキュリティに関する経験者、あるいはリーダーを育成していくことが非常に重要なポイントです。「プロセス」は、カード情報を扱うための方針、業務処理、あるいは運用手順をきちんと確立していくことで、担当者が変わっても、そういう考え方が引き継がれていくことが、大事なポイントです。3つ目の「テクノロジー」は、新しい犯罪の手口、脅威、リスクに対抗できる適切な技術を積極的に採用していくことが、大変重要なポイントだと考えています。この「テクノロジー」ですが、安全でセキュアな、例えば端末機、ソリューションを使っていただくことが重要だと考えていますが、PCI SSCはこの基準に準拠、合格し、認定した設備やソフトウェアを、加盟店、あるいはサービスプロバイダ等々の関連事業者が簡単に特定できるように、PCI SSCのサイト上で公開して案内しております。特に日本の実行計画との関係でいきますと、例えば「Approved PTS devices」はいわゆるPIN入力用デバイスです。これはIC化対応をしていくと、どうしてもPINを入力するオペレーションが付いてきます。そのときに、入力したPINを安全に処理・管理していくためのデバイスになります

PCI P2PE Solutions」は、ポイントtoポイントということで、カード情報を扱う端末と、最終的にそれを処理・保管するセンター側に至るまで、カード情報を適切に暗号化し処理・伝送していくソフトウェアがあります。これに認定されているソリューションが公開されております。

「Validated Payment Applications」は、ペイメントカードデータを保護するためにPA-DSS(Payment Application Data Security Standard)に準拠していることが確認されたソフトウェアプロダクツです。

P2PEも、PA-DSSも、カード情報の非保持化、特に内回り方式を実現していく上で大変有効なソリューションであり、先々PCI DSSに準拠していくためにも大変有効に機能すると考えております。

次に、PCI SSCのミッションを達成するためには、やはり地理的、業種・業界の専門家、実務の方々が広く参画し、いろいろな意見を反映することが重要だと考えております。これを実現していくための手段として、Participating Organizations(パーティシペイティング・オーガニゼーション)という枠組みが、PCI SSCの中にあり、略して、「PO」と呼んでいます。

PCI基準は、PCI SSCに参加してくださったPOの方々との協業によってかたち作られていきます。POは現在、全世界に800社強あり、多くの関連事業者が参加してくださっています。新しい基準の策定や、改定、制度を考案、決定するに当たり、いろいろなフィードバックをPOからいただいています。

PCI SSCは、グローバルなオープンフォーラムです。法人であれば、原則どなたでもPOに参加していただくことが可能です。現在、アジア・太平洋地域では67団体あり、この内、日本は残念ながら10社と少ない状況です。日本の市場規模、PCIに対する取り組みを勘案すると、もっとPOが増えて、日本の声を反映させていく努力が必要なのではないかと思います。

PCI DSSの準拠は、日本では事実上法律要件の一部になっています。もっと日本の特殊事情、環境といったものがPCI DSSの中に反映させていくことが必要と考えています。

POに参加するには年間3,750ドルの費用が必要になりますが、いろいろなメリットがあります。簡単にご紹介しますと、一番重要なのは、PCIの基準やプログラムをドラフトの段階でレビューすることができ、そのうえでいろいろなご意見やコメントを提示していただくことが可能です。それと、海外の動向やPCI基準、プログラムに関するニュースがPCI SSCから定期的にニュースレターとして送られます。また、PCSSCが立ち上げるタスクフォース(SIG (Special Interest Group)と呼ばれています)があります。POの方からPCI基準やペイメントセキュリティに関する共通課題をご提示いただいたときに、それを議論するためのタスクフォースを立ち上げます。それにはQSA、アクワイアラ、国際ブランド、ベンダーなど、いろいろな方々を招集して、課題に取り組んでいきます。そして1つの解答、結論を出していくという枠組みがあり、これにも参加していただくことができます。

さらに、PCI SSCが主催する、ISA,PCIPなど人材育成トレーニングおよび資格認定のプログラムがありますが、これらのご参加料の割引が受けられます。そのほかいろいろ細かいこともあるのですが、ぜひこのようなメリットをご理解いただき、ご検討いただければと思います。

PCI基準とプログラムの最新動向

続きまして、PCI基準とプログラムの最新動向についてお話しします。PCI SSCは、PCI DSSをはじめとしまして、PO、あるいはQSAのような方々からいろいろなご意見をいただき、それに応じて基準やプログラムの更新、策定などを行っていきます。このような動きは、いずれ国際ブランドがルールに落とし込んでいきます。そうなると、アクワイアラを通じて、サービスプロバイダあるいは加盟店にいろいろな影響を及ぼします。ですので、できるだけ早い段階でこういう情報を収集・把握していただき、ご理解していただくことをお勧めします。

まず最初に本年1月に「ソフトウェア・セキュリティ・フレームワーク」が発表されました。これは企業から情報流出が起きているケースでその原因を調査していく中で、使われているアプリケーションプログラムに脆弱性があり、導入している加盟店も知らないところで平文のカード情報のファイルがPOSの中に残っていたケースなどがありました。実際、POS端末やモバイル、スマホ、サーバなどではいろいろなプログラム、アプリケーションが使われカード情報が処理されています。したがって安全なソフトウエアおよびそのライフサイクルに関する基準を策定することはとても重要な課題です。そういう議論を経て、ソフトウェア・セキュリティ・フレームワークがつくられています。

次に「Best Practices for Maintaining PCI DSS Compliance」です。ベストプラクティスなので、基準ではありませんが、PCI DSSに準拠した企業が、いかに持続するか、維持するのかは共通の課題になっております。PCI SSCがSIGを立ち上げて、議論を行い、ドキュメントにまとめられています。

PCI DSSは原則年1回のレビューで準拠状況を確認しますが、このレビューは、その時点がどうかというのはわかりますが、普段の状況は把握できません。大切なことは、自社のリスクをしっかり理解して、どういうリスクがあるのか、どういう頻度で何をどれだけ見たらいいのかを企業のカルチャーとして、作り上げていくということが非常に重要だと思います。このガイドブックには、テクニカルな観点だけではなくて、会社の体制、管理方法などがベストプラクティスにまとめ上げられています。

▶▶後編へ続く

※本内容は、2019年3月13日に開催された「ペイメントカード・セキュリティフォーラム2019」のPCIセキュリティスタンダードカウンシル(PCI SSC)日本アソシエイトダイレクター 井原 亮二氏の講演に加筆を加え、紹介しております。

 

カード決済&リテールサービスの強化書

関連記事

こちらもおすすめ
  1. PCI SSC、国内でのPCI基準の啓発と推進を強化
  2. PCI SCCのアソシエトディレクターに井原亮二氏が就任
  3. 3月13日無料セミナー「ペイメントカード・セキュリティフォーラム2019」開催
  4. スマートデバイス等のソフトウエア式PIN入力のセキュリティ要件を公開(PCI SSC)
  5. PAYGATE Stationが汎用OS(Android)決済端末初の「P2PEソリューション」認定取得(ロイヤルゲート)
  6. P2PEアプリケーションのセキュリティ評価機関PA-QSA(P2PE)として認定(NTTデータ先端技術)

ペイメントニュース最新情報

1205dnpseminar
kyokasho2025
PaymentNavi様ET24_banner

MAILMAGAZINE

無料メルマガ登録

PAYMENTNAVI LOVE

無料会員登録

feitian
ポータブル決済端末、オールインワン決済端末、スマート決済端末、新しい決済端末3製品をリリースしました(飛天ジャパン)
itnavi

国内最大級のクレジットカード情報データベース(アイティーナビ)

netstarslogo
「お金の流れを、もっと円(まる)く」決済ゲートウェイ事業のパイオニアとして、強固なシステムでキャッシュレス決済を次のステップへと推進します。(ネットスターズ)
gmopg

国内最大級の導入実績を誇る決済代行事業者(GMOペイメントゲートウェイ)

remise
決済シーンにdelight(ワクワク感)を!PCI P2PE 認定国内実績 No.1の「確かな信頼」を提供します(ルミーズ)
tmn
電子マネー、クレジット、QR・バーコード、共通ポイントなど、多数のキャッシュレス決済サービスをワンストップで提供(トランザクション・メディア・ネットワークス)
infcurion3
決済領域を起点に多様なビジネスニーズに応える各種ソリューションを提供(インフキュリオン)
scudetto_logo
ReD ShieldやSift等の不正検知サービスを提供し、お客様の不正対策を支援(スクデット)
zeus2
BtoCもBtoBも。クレジットカード決済を導入するならSBIグループのゼウスへ。豊富な実績と高セキュリティなシステムで貴社をサポートいたします。(ゼウス)
toppan
TOPPANの決済ソリューションをご紹介(TOPPANデジタル)
dgft
多様な業界のニーズに対応した、さまざまなキャッシュレス・決済関連サービスを提供する総合決済プロバイダー(DGフィナンシャルテクノロジー)
exa
決済業務の完全自動化を実現する「Appian」とクレジット基幹プラットフォームを合わせてご紹介!(エクサ)
akuru
チャージバック保証、不正検知・認証システムなどクレジットカード不正対策ソリューションを提供(アクル)
rogo3

非対面業界唯一!!カード会社とダイレクト接続により、安心・安全・スピーディーで質の高い決済インフラサービスを提供。Eコマースの健全な発展に貢献する決済代行事業者(ソニーペイメントサービス)

3inc
stera terminalでお店のポイントがつけられる「VALUE GATE」(トリニティ)
netmove1_logo

Spayd スマートフォン、タブレットがクレジット決済端末に!(ネットムーブ)

dnp

DNPキャッシュレス 決済プラットフォームをご紹介(大日本印刷)

TAG
3-Dセキュア BtoB CLO EMV FeliCa HSM IC乗車券 ID決済 NCB NFC P2PE PCI DSS PCI DSS準拠事例 Pro2021 Pro2022 Pro2023 Pro2024 インバウンド キャッシュカード キャリア決済 ギフトカード クレジットカード クレジットカード会社 デビットカード トークナイゼーション プリペイドカード ポイントカード マイナンバー マーケティング モバイル モバイルペイメント 不正検知(フラウド) 個品割賦 公金決済 共通ポイント 地域通貨 外貨決済 後払い 決済端末 法人カード 海外情報 無料会員コンテンツ 越境EC 送金 電子マネー
paymentnavi-shiro

© Copyright payment navi. All Rights Reserved.

本サイトの掲載記事、写真・画像の無断転載・複製を固く禁じます。記載されているロゴや製品・システム名は各社および商標権者の登録商標・商標です。

PAGE TOP