TIS、クレジット業界におけるグローバルセキュリティ基準であるPCI DSSv4.0への準拠支援コンサルティングを提供開始
～リスクアセスメントを行い対象システムのPCI DSSv4.0への準拠度を明確化～

2022年5月9日

TISインテックグループのTIS株式会社（本社：東京都新宿区、代表取締役社長：岡本　安史、以下：TIS）は、2022年3月31日にPCI SSC (PCI Security Standards Council)よりリリースされたPCI DSS^※1v4.0への準拠支援コンサルティングを、2022年5月より開始することを発表します。

PCI DSSv4.0への準拠支援コンサルティングでは、ペイメント業界向けに、PCI DSSv4.0基準を元にしたリスクアセスメントを行い、対象システムについてのPCI DSSv4.0への準拠度を明確化します。準拠に達していない要件については、2024年度のPCI DSSv4.0への完全移行を見据え、中・長期的なロードマップの作成や対応方針案を提示して解決を支援します。さらに、PCI DSSv4.0から追加となった、頻度定義のためのリスク分析や、カスタマイズアプローチの作成支援も実施します。

メジャーバージョンアップされたPCI DSSv4.0では、ペイメント業界のニーズに応える新たな要件の追加や明確化に加え、セキュリティの維持や各事業体に合わせたセキュリティ対策の実現に向け、リスク分析ベースの運用頻度定義や、カスタマイズアプローチの新設等、検証手法についても大きく改変されています。
PCI DSSv4.0対応することは、決済アカウントの有無にかかわらず、対象システムのセキュリティを向上させる事につながります。お客様は本コンサルティングを活用することで、いち早くPCI DSSv4.0準拠度の確認ができ、ソリューション導入や運用見直し等のPCI DSSv4.0対策を計画的に実施できます。

TISは、決済領域において国内を代表するシステムインテグレータとして、約10年にわたり多くの企業システムのPCI DSS準拠支援を行ってまいりました。
決済領域に関する豊富な知見とコンサルティング経験を活かし、システムインテグレータとしてのSI技術力、クラウド事業者パートナーとしてのクラウド知見、ASV（認定スキャンベンダー）としての脆弱性診断等、当社グループが持つ豊富なサービスにより、PCI DSSv4.0に対応したセキュリティアセスメント、及び対策支援を実施します。

TISは、PCI DSSv4.0のリリースに向け、JCDSC（日本カード情報セキュリティ協議会）のQSA部会有志メンバーによるワーキングに参加し、PCI DSSの普及を目的に翻訳活動を実施する等、PCI SSC並びにJCDSCと連携し、PCI DSSv4.0への準備・推進をしてまいりました。それら最新の知見を活かしたPCI DSSv4.0コンサルティングを通じ、安心・安全なデジタル社会の実現に貢献していきます。

※1　PCI DSS　クレジットカード情報および取り引き情報を保護するために2004年12月、JCB・American Express・Discover・マスターカード・VISAの国際ペイメントブランド5社が共同で策定したクレジット業界におけるグローバルセキュリティ基準

背景

2022年3月に一般社団法人日本クレジット協会から、昨年のクレジットカード不正利用被害額が公開されました。2021年のカード不正利用の被害額は、コロナ渦やDXの拡大に伴い事業者のEC展開が増えたことやそれを狙ったカード不正が増加したことが影響し、前年よりも77億円増となりました。2022年度においても過去最高の不正利用被害額が予測されており、カード不正のターゲットは、クレジットカード以外も含めたペイメント業界全体に及んでいます。
そのような中、2022年3月31日に、クレジット業界におけるグローバルセキュリティ基準のPCI DSSがv3.2.1からv4.0にメジャーバージョンアップされました。本バージョンアップは、昨今の背景を踏まえた大幅な要件改変となり、複雑化するサイバーセキュリティに対応した内容になっています。
そこでTISはPCI DSS準拠支援コンサルティングの対象を新しいv4.0に拡大し、v4.0基準に対する現状システムのギャップ分析やv4.0準拠までのロードマップの作成、頻度定義のためのリスク分析やカスタマイズアプローチ作成の支援をします。

PCI DSSv4.0への準拠支援コンサルティングの概要

PCI DSSv4.0基準を元にしたリスクアセスメントを行い、対象システムのPCI DSSv4.0への準拠度を明確化します。準拠に達していないと思われる要件については、対応方針案を提示して、解決への手助けをし2024年度のPCI DSSv4.0への完全移行を見据え、中・長期的なロードマップの作成や、PCI DSSv4.0から追加となった頻度定義のためのリスク分析、カスタマイズアプローチの作成支援も実施します。

PCI DSSv4.0準拠までの標準プロセス

①カード情報を「保管・処理・伝送」する環境の特定

• カード会員データ利用の把握
• PCI DSS準拠させる対象範囲（スコープ）の特定

②PCI DSS準拠方法（どのシステムに何をするか）の策定

• PCI DSSv4.0要件と現状におけるギャップ分析の実施
• ギャップに対する対応方針の策定
• どのタイミングで対応を実施するかの中長期ロードマップの策定

③PCI DSSの実装と運用

• PCI DSS文書作成支援
• システム実装提案
• 頻度定義のためのリスク分析実施支援
• カスタマイズアプローチ作成支援

④実装支援

• 実装に伴う課題フォロー

⑤プレ監査

• 実装後のPCI DSSv4.0準拠度評価
• プレ監査時の課題整理

⑥本審査支援

• 監査への立会
• 監査時の課題整理

⑦フォローアップ

• 次年度への課題整理

本コンサルティングの詳細は、以下URLをご参照ください。
https://www.tis.jp/service_solution/en_pci/

PCI DSSv4.0への準拠支援に関する今後の展開

脆弱性診断等、当社グループが持つサービスについても、PCI DSSv4.0に対応しております。
PCI DSS v4.0準拠実現に向けたソリューションや関連サービスについては、今後詳しい内容を発信してまいります。

TIS株式会社について（https://www.tis.co.jp/）

TISインテックグループのTISは、金融、産業、公共、流通サービス分野など多様な業種3,000社以上のビジネスパートナーとして、お客様のあらゆる経営課題に向き合い、「成長戦略を支えるためのIT」を提供しています。50年以上にわたり培ってきた業界知識やIT構築力で、日本・ASEAN地域の社会・お客様と共創するITサービスを提供し、豊かな社会の実現を目指しています。

TISインテックグループについて

TISインテックグループは、国内外グループ2万人を超える社員が『ITで、社会の願い叶えよう。』を合言葉に、「金融包摂」「都市集中・地方衰退」「低・脱炭素化」「健康問題」を中心とした様々な社会課題の解決に向けてITサービスを提供しています。デジタル技術を駆使したムーバーとして新たな価値を創造し、人々の幸せと持続可能な豊かな社会の実現に貢献します。

※ 記載されている会社名、製品名は、各社の登録商標または商標です。
※ 記載されている情報は、発表日現在のものです。最新の情報とは異なる場合がありますのでご了承ください。