PCI DSS4.0のポイントは? 要件通りの準拠に加えて自社独自での対応も可能に

2020年1月14日9:00

PCI Security Standards Council(PCISSC)は、2019年9月にバンクーバー(カナダ)で開催された北米コミュニティミーティングにおいて、PCI DSS Version4.0(以下、4.0)について発表した。同基準ドラフトの主なポイントについて、PCIセキュリティ・スタンダード・カウンシル(PCI SSC)日本アソシエイト・ダイレクター 井原 亮二氏に話を聞いた。

9月に開催されたバンクーバーのコミュニティミーティングでの様子。左から2人目が井原氏。写真中央の前列左側はPCISSC エグゼクティブ・ダイレクター Lance Johnson氏

リリースは早くとも2020年後半以降

PCI SSCでは、コミュニティミーティングを年に3回開催、その内北米でのコミュニティミーティングは、4.0の発表もあり注目度も高く、1,300人強が参加したという。また、日本からも複数のQSA(認定審査機関)やPO(参加団体)が参加している。今回は4.0の発表に加え、PCI P2PEもVersion3.0が発表され、2020年1月より18カ月の移行期間となっている。P2PEも3.0となり、よりフレキシビリティが広がったそうだ。

4.0は現在、PO(参加団体)、QSA、ASVによるファーストドラフトのレビューを受け、その結果のフィードバックを元に中身を見直していくプロセスとなっている。今後は、ファイナルドラフトの最終レビューを経て、リリースは早くとも2020年後半以降となる。現基準はPCI DSS3.2.1だが、1.0から2.0、2.0から3.0へと基準が更新されるごとに大きな変更が行われている。井原氏は、「Version3.0が発表されてから6年経ちましたが、新しいテクノロジーや決済環境が変わっていく中で、PO始めステークホルダーから多くのフィードバックがあり、それを反映してきました。今回もいくつかの大きな見直しが行われています。ファーストドラフトについても多数のフィードバックを受けておりますが、その骨格が大きく変わることはないと考えています」と説明する。

オブジェクティブ(目標)に基づいて、基準を再設計

具体的な変更点として、1つはオブジェクティブ(目標)に基づいて、基準を再設計していく。例えば、PCI DSSはパスワードの桁数など要件の記載通りにすることが目的ではなく、パスワードに対する攻撃に対抗することが重要だ。要件書には、新たにセキュリティオブジェクティブという項目が追加され、各要件が目指している本来の目的を説明している。そして、その要件と目的をつなぐために各項目ごとにインテント(意図)文が追加されている。この結果、準拠対応方法に柔軟性がもたらされる。

「従来通り各要件の記載通りに対応する方法に加え、新たなオプションとして独自の対応方法(カスタマイズアプローチ)を審査員がレビューして当該要件が目指している目標が十分に達成できると判断した場合であれば準拠が可能です。PCI DSSの記載要件に無理に合わせるのではなく、自社の独自の取組みが審査員によって評価されます」(井原氏)

例えば、日本企業の中には、独自の方針に沿ってセキュリティ対策を行うカード会社、決済事業者、加盟店もあるが、「独自の対策が評価されて、4.0のインテントで求められている要件の目標が達成されると判断されば、よりPCI DSSが準拠しやすくなります」と井原氏は期待する。

準拠対象範囲(スコープ)の確認も通常要件で定義

このコンテンツは会員限定となっております。すでにユーザー登録をされている方はログインをしてください。
会員登録(無料)をご希望の方は無料会員登録ページからご登録をお願いします。

関連記事

ペイメントニュース最新情報

設立25年以上の実績を誇る決済サービスプロバイダ。クレジットカード決済をはじめ、対面・非対面問わず豊富な決済手段を取り揃え、ニーズに合わせて最適な決済方法をご提案します。(ゼウス)

国内最大級のクレジットカード情報データベース(アイティーナビ)

国内最大級の導入実績を誇る決済代行事業者(GMOペイメントゲートウェイ)

モバイル決済端末 (mPOS/SmartPOS) やQRコードリーダーをOEM/ODMでご提供します。お客様に代わってセキュリティ認定も取得可能です。(飛天ジャパン)

チャージバック保証、不正検知・認証システムなどクレジットカード不正対策ソリューションを提供(アクル)
PayBやWeChatPay/Alipay等のスマートフォン決済、 リアルタイム口座振替、信頼性の高い収納代行、送金など、 様々な決済ソリューションを提供(ビリングシステム)

SaAT ポケレジ スマートフォン、タブレットがクレジット決済端末に!(ネットムーブ)

「Alipay」「WeChat Pay」中国最大規模のオンライン決済サービス(トリニティ)

ブランドプリペイド/デビット、クレジットの基幹プラットフォームを中心にご紹介、決済事業者様のデジタルトランスフォーメーションやFintechへの取り組みを強力にご支援します。(エクサ)

国内ICカードシェアNo.1(大日本印刷)

シンクライアント型電子決済サービス(トランザクション・メディア・ネットワークス)

「ハウス電子マネー/ギフトカードサービス」のニュース、導入事例のご紹介(富士通FIP)

決済情報コラムを好評連載中!「コンビニ収納ペーパーレス決済(番号方式)のわずかな、でも大事な違い」(NTTインターネット)

非対面業界唯一!!カード会社とダイレクト接続により、安心・安全・スピーディーで質の高い決済インフラサービスを提供。Eコマースの健全な発展に貢献する決済代行事業者(ソニーペイメントサービス)

クレジット・デビットカード、銀聯カード、ギフトカード、リアルタイム口座振替、ペイジーなどの様々なサービスに関するソリューションをご提供(富士通)

シンクライアント決済ソリューション「Thinc-CORE(シンクコア)」 EMVレベル2認証取得でICクレジットカード対応を実現(セイコーソリューションズ)

不正決済対策の本質と弊社のサービス提供スタンス(スクデット)

世界最大のギフト・プリペイドサービス事業者(インコム・ジャパン)

全国180社以上の導入実績を誇る「CARD CREW PLUS」(ジィ・シィ企画)

カードシステムシェア70%の実績「NET+1」、不正検知システム国内導入実績NO,1「ACEPlus」(インテリジェントウェイブ)

PAGE TOP