PCI DSS4.0のポイントは? 要件通りの準拠に加えて自社独自での対応も可能に

2020年1月14日9:00

PCI Security Standards Council(PCISSC)は、2019年9月にバンクーバー(カナダ)で開催された北米コミュニティミーティングにおいて、PCI DSS Version4.0(以下、4.0)について発表した。同基準ドラフトの主なポイントについて、PCIセキュリティ・スタンダード・カウンシル(PCI SSC)日本アソシエイト・ダイレクター 井原 亮二氏に話を聞いた。

9月に開催されたバンクーバーのコミュニティミーティングでの様子。左から2人目が井原氏。写真中央の前列左側はPCISSC エグゼクティブ・ダイレクター Lance Johnson氏

リリースは早くとも2020年後半以降

PCI SSCでは、コミュニティミーティングを年に3回開催、その内北米でのコミュニティミーティングは、4.0の発表もあり注目度も高く、1,300人強が参加したという。また、日本からも複数のQSA(認定審査機関)やPO(参加団体)が参加している。今回は4.0の発表に加え、PCI P2PEもVersion3.0が発表され、2020年1月より18カ月の移行期間となっている。P2PEも3.0となり、よりフレキシビリティが広がったそうだ。

4.0は現在、PO(参加団体)、QSA、ASVによるファーストドラフトのレビューを受け、その結果のフィードバックを元に中身を見直していくプロセスとなっている。今後は、ファイナルドラフトの最終レビューを経て、リリースは早くとも2020年後半以降となる。現基準はPCI DSS3.2.1だが、1.0から2.0、2.0から3.0へと基準が更新されるごとに大きな変更が行われている。井原氏は、「Version3.0が発表されてから6年経ちましたが、新しいテクノロジーや決済環境が変わっていく中で、PO始めステークホルダーから多くのフィードバックがあり、それを反映してきました。今回もいくつかの大きな見直しが行われています。ファーストドラフトについても多数のフィードバックを受けておりますが、その骨格が大きく変わることはないと考えています」と説明する。

オブジェクティブ(目標)に基づいて、基準を再設計

具体的な変更点として、1つはオブジェクティブ(目標)に基づいて、基準を再設計していく。例えば、PCI DSSはパスワードの桁数など要件の記載通りにすることが目的ではなく、パスワードに対する攻撃に対抗することが重要だ。要件書には、新たにセキュリティオブジェクティブという項目が追加され、各要件が目指している本来の目的を説明している。そして、その要件と目的をつなぐために各項目ごとにインテント(意図)文が追加されている。この結果、準拠対応方法に柔軟性がもたらされる。

「従来通り各要件の記載通りに対応する方法に加え、新たなオプションとして独自の対応方法(カスタマイズアプローチ)を審査員がレビューして当該要件が目指している目標が十分に達成できると判断した場合であれば準拠が可能です。PCI DSSの記載要件に無理に合わせるのではなく、自社の独自の取組みが審査員によって評価されます」(井原氏)

例えば、日本企業の中には、独自の方針に沿ってセキュリティ対策を行うカード会社、決済事業者、加盟店もあるが、「独自の対策が評価されて、4.0のインテントで求められている要件の目標が達成されると判断されば、よりPCI DSSが準拠しやすくなります」と井原氏は期待する。

準拠対象範囲(スコープ)の確認も通常要件で定義

このコンテンツは会員限定となっております。すでにユーザー登録をされている方はログインをしてください。
会員登録(無料)をご希望の方は無料会員登録ページからご登録をお願いします。

関連記事

ペイメントニュース最新情報

国内最大級のクレジットカード情報データベース(アイティーナビ)

ポータブル決済端末、オールインワン決済端末、スマート決済端末、新しい決済端末3製品をリリースしました(飛天ジャパン)
「お金の流れを、もっと円(まる)く」決済ゲートウェイ事業のパイオニアとして、強固なシステムでキャッシュレス決済を次のステップへと推進します。(ネットスターズ)

国内最大級の導入実績を誇る決済代行事業者(GMOペイメントゲートウェイ)

決済シーンにdelight(ワクワク感)を!PCI P2PE 認定国内実績 No.1の「確かな信頼」を提供します(ルミーズ)
電子マネー、クレジット、QR・バーコード、共通ポイントなど、多数のキャッシュレス決済サービスをワンストップで提供(トランザクション・メディア・ネットワークス)
決済領域を起点に多様なビジネスニーズに応える各種ソリューションを提供(インフキュリオン)
ReD ShieldやSift等の不正検知サービスを提供し、お客様の不正対策を支援(スクデット)
BtoCもBtoBも。クレジットカード決済を導入するならSBIグループのゼウスへ。豊富な実績と高セキュリティなシステムで貴社をサポートいたします。(ゼウス)
TOPPANの決済ソリューションをご紹介(TOPPANデジタル)
多様な業界のニーズに対応した、さまざまなキャッシュレス・決済関連サービスを提供する総合決済プロバイダー(DGフィナンシャルテクノロジー)
決済業務の完全自動化を実現する「Appian」とクレジット基幹プラットフォームを合わせてご紹介!(エクサ)
チャージバック保証、不正検知・認証システムなどクレジットカード不正対策ソリューションを提供(アクル)

非対面業界唯一!!カード会社とダイレクト接続により、安心・安全・スピーディーで質の高い決済インフラサービスを提供。Eコマースの健全な発展に貢献する決済代行事業者(ソニーペイメントサービス)

stera terminalでお店のポイントがつけられる「VALUE GATE」(トリニティ)

Spayd スマートフォン、タブレットがクレジット決済端末に!(ネットムーブ)

DNPキャッシュレス 決済プラットフォームをご紹介(大日本印刷)

PAGE TOP