2019年6月5日8:00
■PCIセキュリティスタンダードカウンシル
2020年に向けた日本での取り組み、日本語サイトへの対応を強化
次に、2019年から年末にかけての取り組みについて紹介します。まず、P2PEですが、現在バージョン3.0が準備されています。すでにRFCは行われていまして、皆様からご提示いただいたご意見に基づき修正作業をしています。早ければ年内に3.0が出る予定です。
それから「カード・プロダクション・アセッサー・プログラム(Card Production Assessor Program)」 ですが、これはカードを製造したり、あるいはエンボス、エンコードをする事業者向けのPCI基準(Card Production Physical Standard / Card Production Logical Standard)があり、毎年各ブランドが独自にレビューし評価をしています。そのため事業者側に大きな負担がかかっていますので、PCI SSCが評価者を認定し、その人が1回レビューをすれば、その結果を5ブランドで共有することで、事業者の負担を大幅に軽減できます。
次に「Contactless on commercial off-the-shelf (COTS)」ですが、例えばスマートフォンやタブレットなどで行われる非接触決済はこれからさらに進展していく事業分野ですが、この決済スキームのセキュリティ基準としてまとめ上げたものです。これも年内にリリースすることを目標としています。
最後にPCI DSS4.0で、今年の後半にRFCが、POに向けて行われる予定です。ドラフトをご覧いただき、皆様から意見をいただいて、必要な修正を施して、早ければ来年中のリリースを目指していきたいです。
続きまして、日本において、2020年に向けてPCI SSCがどんな取り組みをしていくかを紹介させていただきます。
PCI SSCは2019年から2020年にかけて、日本のカード会社、加盟店、サービスプロバイダが改正割販法あるいは実行計画の要件の達成をしていくための支援をしてまいります。具体的には特にPCI DSSに準拠されようとしている事業者を支援するために、それに必要なトレーニング、審査員などリソースを増強してまいります。また一方で、P2PE、PA-DSSというソリューションもできるだけ増やし、選択肢を多くして、皆様に使いやすいものを選べる柔軟性を持たせていきたいと考えております。
加盟店やサービスプロバイダから伺う声の中には、PCIをやりたいと思っているのだけどリソースが不足している、特に、「QSAに連絡をしてもスケジュールがいっぱいです」という声を聞くことがあります。ですので、このような課題に取り組んでまいります。
併せて、いろいろなチャネルを使ってPCI関連のセキュリティ基準に対する理解を向上、改善していただくための活動もしてまいります。
次にPCI SSCが提供する人材育成プログラムについて紹介します。まず最初に、インターナル・セキュリティ・アセッサー(ISA:企業内部セキュリティ評価者)で、これは加盟店、サービスプロバイダ、カード会社など、企業の内部のセキュリティ評価者となります。PCI SSCは、PCIDSSの準拠状況を自社で自ら評価できる人材を育成し、その方々を認定しています。認定された方々はPCI SSCのサイトに登録されます。ISAは、PCI DSSの要件を理解し、一方で自社の状況、システム運用の状況を理解していらっしゃる中で、必要な対応をとるための指揮をとっていただくことになります。同時に、QSAのオンサイトレビューが入ったときに、いろいろな調整役を果たしていただくわけですが、もう1つ、ISAはQSAの代わりにオンサイトレビューをすることが認められています。ですので、現在、QSAのレビューを受けていらっしゃる方々も、できるだけISAを活用していただくことによって、結果的にコスト削減につなげることもできると思います。PCI DSSの準拠を目指していらっしゃる企業には、やはりこういうスキルを持たれた方を最低1名は育成されるべきと考えております。
次にPCIP (PCI Professional)という資格がございます。これは組織内の人材育成という意味では、ISAのような内部監査を前提としているわけではなく、PCIの基準に精通した人材をより広く育成するための制度であり、海外などを見るとこのPCIPという資格は、むしろSAQ、自己診断をご自身でやるときに、PCIPの方がリーダーシップを発揮して取り組んでいるケースもあります。PCIPは、オンサイトによる1日のトレーニング、あるいはオンライントレーニングとテストを受けて資格を取得することも可能です。合格者はPCI SSCのサイトにお名前が登録されます。2019年4月8日と9日に東京で、ISAとQSAのオンサイトのトレーニングを開催します。受講料は一般の企業は3,100ドルですが、POの方々は1,800ドルとなっております。ISA、QSAともに事前にオンライントレーニングがございまして、それを受けていただいた上で、2日間のオンサイトによるトレーニングを受けていただくことになります。その上でテストを受けていただき、合格すると、ISAの個人のお名前と会社名の2つが登録されます。資格の有効期限は1年ですが、更新はオンラインのトレーニングで可能となっております。日本の企業がISAやQSA、あるいはPCIPといった資格を取得するときにネックになるのが、言語の問題ですが、日本で行うトレーニングはすべて日本語のサポートが付きます。講師の説明は同時通訳が付きますし、テキストは日本語のものが提供されます。テストも日本語で受けていただくことが可能です。ISAは昨年東京でトレーニングを行った結果、40名強ぐらいの方々が新規にISAになっていただき、その方々が今年更新するわけなのですが、その更新のトレーニングもオンラインで日本語でできるようになります。
PCI SSCには日本語サイトがあります。URLの頭にJa.を付けていただくといきなり日本語のサイトにアクセスできます。このサイトをご覧いただくと、日本語のいろいろな教材ツールがアップされています。特に加盟店、中小の加盟店も含めて、今どんな事故が起きているのか、どんな事案があるのか、それに対してどんな対応が好ましいのかを、日本語で解説している資料、あるいはカード決済や情報セキュリティでよく使われる用語解説集など、すべて日本語で用意されておりますので、ぜひ一度お時間のあるときにご覧いただき、ダウンロードしてお役立ていただければと思います。

PCI DSSはペイメントセキュリティのベースライン
最後に、PCI SSCが主催するイベントをご紹介します。2019年はインドに加え、ラテンアメリカ、北米、ヨーロッパ、アジア太平洋の各リージョン単位でイベントが予定されております。アジア太平洋では昨年5月に、東京(恵比寿)で開催しましたが、300名強の方にご参加いただきました。今年はオーストラリアのメルボルンで11月20日・21日の2日間をかけて開催いたします。POに参加されますと、2名まで無料で参加いただけますし、併せてISA、PCIPのいろいろなトレーニングもセットで行っておりますので、もし興味があればぜひ参加をご検討いただければと思います。
まとめとしまして、PCI SSCとして考える今後の課題について、説明させていただきます。PCI DSSは、今年で丸15年になりますが、日本においては、ようやくカード情報を取り扱う事業者の皆様の認知を得られるようになってきたと実感しております。これまで大変多くの方々にご協力やご支援をいただいてきました。これは行政当局、経済産業省、あるいは業界団体の日本クレジット協会(JCA)、日本カード情報セキュリティ協議会(JCDSC)、あるいは国際ブランド、メディア関連の方々、もちろん加盟店、サービスプロバイダ、アクワイアラ、ベンダ、いろいろな方々のお取り組みを経てなんとかここまでこれたということで、この場をお借りして深く御礼を申し上げたいと思います。ありがとうございます。

ただ、PCI DSSは、私の感覚で申し上げますと、登山に例えるとまだ5合目ぐらいではないかなと思っています。特に、多くの加盟店からすると、実行計画の中で求められているPCI DSSよりも、非保持化を目指しているケースが圧倒的に多いと聞いています。その理由の1つは、PCI DSSは要件が多くてハードルが高いと、マイナスの印象を持っていらっしゃるからなのだろうと思います。
一方で、PCI DSSというのは、あくまでペイメントセキュリティのベースラインだと言われています。PCI DSSをやれば絶対に安全だということではなくて、常に新しいリスクに備えるべきだということになっています。例えばPCI DSSの要件の中には、3カ月に1回、脆弱性テストを受けると規定されています。また、カード情報にアクセスするパスワードは少なくとも90日に1回は変更すると規定いています。これらを行えば、絶対に安全であると誰にも断言できないわけです。PCI DSSに対する考え方として、対応を求められる加盟店と、実際これを推進している側には、まだまだ大きなギャップがあると考えています。
このギャップを埋めていく努力が必要です。加盟店にとってPCI DSSが、きちんと選択肢として位置付けられるようになっていくまで、理解を進めていく必要があるのだろうと考えています。
あらためて、PCI DSSとはいったい何なのだろうと考えてみたときに、カード情報を安全に管理していく手段を突き詰めていくと、PCI DSSの要件に行き当たるものだと思います。ですので、カード情報の安全な管理方法を考えていくと、自然とPCI DSSの要件が見えてきますので、PCI DSS準拠を目的化してしまうよりも、本質的に、自社にどんなリスクがあって、何をすべきなのかという観点から入っていくと、PCIに対する理解が深まっていきます。ある意味、発想の転換のようなことが必要になってくるのではないかと思うのですが、そのときにやはりカギになるのが、人材だと思っています。組織の中で、そのような知見やマインドを持った人材を育成していただいて、組織の内側から変えていくことが必要だろうと考えていますので、PCI SSCとしては次の5年、これを課題の1つとして、ぜひ取り組んでまいりたいと思っております。
▶▶前編へ戻る
※本内容は、2019年3月13日に開催された「ペイメントカード・セキュリティフォーラム2019」のPCIセキュリティスタンダードカウンシル(PCI SSC)日本アソシエイトダイレクター 井原 亮二氏の講演に加筆を加え、紹介しております。