BLOG

クレジットカード業界やPCI DSSに関する最新動向をお届けします

2014.10.14

PCI DSS Ver3.0 新要件に関する解説① 〜 Ver3.0による監査 〜

  • このエントリーをはてなブックマークに追加

Ver3.0の変更点で最も影響が大きい点は?

PCI DSS Ver3.0による監査が本格化している。以前の記事でも触れた通り2014年中はいずれのバージョンでも監査の対応ができる。
ただし同年12月末が旧バージョンの2.0の使用期限なので注意頂きたい。

Ver3.0において変更された点で、準拠企業側とQSAに最も影響が大きいのは、ROC(Report on Compliance:PCI DSSの監査報告書をさす)がテンプレート化されたことではないだろうか?『ROC Reporting Template』は2014年の2月にリリースされ、7月には改版されている。PCI DSS Ver2.0まではROCのフォーマットは必要要件だけ定義されており、各社が自由なフォーマットで対応していた。監査品質を全世界で一定以上とすることを目的にROCのテンプレート化がなされた。

ROCのテンプレート化により監査品質が向上

Ver2.0発行時(2010年10月)にも前述のROCに記載される必要要件を定義した『ROC Reporting Instructions』という作成手引きが発行されている。この時点からROC作成の品質向上と維持については始まった。実際にはQA(Quality Assurance)プログラムという品質保証制度により、QSAのPCI基準のレビューが一定の品質でなされているどうかをPCI SSC自身がQSAを監査している。具体的には、顧客向けのROCが『ROC Instructions』通りに作成されてどうかを確認する。要件毎に、記述の不足、解釈の間違え、エビデンスの妥当性などについて指摘するというものだ。日本でも数社のQSAが既にこのプログラムを受けている。

Ver3.0よりROCが完全にテンプレート化されたことにより、QSAによるエビデンスの記録の仕方、インタビューした担当者の役職や氏名の記録など仔細に定義されフォーマット化された。監査の現場には、仔細に定義されたことによる変化が既にあらわれている。実際にQSAが実施するPCI DSS監査のきめが細かくなっており、監査品質の向上という意味ではPCI SSCの意図するところに確実に向かっている。一方で監査工数は各社Ver2.0と比較し、確実に増えると予想され、QSAも準拠企業にも負担は増加するはずだ。

ROCのテンプレート化による問題点

ROCのテンプレート化によって監査の品質は上がるのだが、いくつか問題もある。PCI SSCが全世界共通でROCの品質を監査する際の言語が英語であることである。よって2014年10月現在『ROC Reporting Template』は英語版しかリリースされていない。テンプレートのブランクフォームに埋める内容は日本語が許可されていると聞くが、監査を受けた企業が実際のROCの内容を確認する際には、要求事項は英語のままということになる。繰り返しになるが2015年1月1日からはVer3.0のみが使用可能なバージョンとなる。『ROC Reporting Template』の日本語化については、またもや日本がガラパゴス化するという意見もあるだろうが、国内での普及を考えると必須となるであろう。

日本には、PCI基準の普及を目的に設立された日本カードデータセキュリティ推進協議会(JCDSC)という任意の団体がある。その団体の中にQSA部会が設置されおり、国内のほぼすべてのQSAが加盟しており、監査技術の向上を目的に活動している。このQSA部会を通じてPCI SSCとこの問題について交渉することが期待される。なおJCDSCやQSA部会などは日本独特の活動であると言われており、特にQSA部会における活動は、国内の監査品質の向上において貢献が大きいと考えられる。何故なら日本においては2014年10月現在、PCI DSSの完全準拠企業からは大規模なカード情報の流出事件は発生していない。実証された品質を維持していると言える。2015年は、アジア太平洋地域のコミュニティ会議が初めて日本で開催されるが、この独自の活動は是非とも他地域におけるPCI DSSの推進手法としてアピールして行きたいとことである。

この記事が気に入ったら
いいね!しよう

PCI DSS 関連の最新記事をお届けします

  • このエントリーをはてなブックマークに追加