ニュース

PCIDSSの準拠側と審査側の手間を削減する「一緒に使える管理システム」

BSIジャパンとNANAROQが共同開発

 BSIグループジャパン株式会社(以下、BSIジャパン)とNANAROQ株式会社は20日、PCIDSS準拠を効率化するクラウドサービスを共同開発し、提供を始めると発表した

 PCIDSSは、5社(American Express/Discover/JCB International/MasterCard/Visa)の国際カードブランドが共同で策定した、クレジットカードやデビットカードなどのデータを保護するためのデータセキュリティ基準。その項目は多岐にわたり、準拠する側にとっても審査する側にとっても、審査作業は非常に煩雑なものだった。今回のサービスは両者が1つの管理システムを利用することで、効率的・低コスト・高品質な審査を実現するものという。

 PCIDSSは約300のコンプライアンス項目があり、準拠する企業はその準拠性について、BSIジャパンのような認定セキュリティ機関(QSA)から毎年審査を受ける必要がある。準拠側にとっては、準拠のエビデンスを管理する手間は煩雑で、準拠し続けるコストが肥大化する一因となっている。一方でQSA側も訪問審査の際にすべてのエビデンスを収集し、準拠性を確認することは煩雑な作業となる。

 そこで開発したのが、両者の管理の煩雑さを解消し、審査の高品質化を図るために、両者が1つの管理システムを利用して約3項目の準拠性とエビデンスを管理できる「Entropy PCI DSS Compliance PAQ」。クラウド型のサービスとなる。

PCI DSS Compliance PAQ サービスイメージ

 BSIジャパンが提供するGRC(ガバナンス・リスク・コンプライアンス)ソリューション製品の「Entropy」に、NANAROQがBSIジャパンと共同開発したPCIDSS準拠テンプレートを備えたクラウドサービス型のコンプライアンス管理システムとして提供する。

 準拠する側が毎年の審査に備え、効率的に必要なアイテム(文書やログなどの証跡)を管理できる。QSA側はこれら証跡を事前に確認することで、訪問審査を効率化できる。審査完了後には不適合など指摘事項の是正状況をステータスで管理でき、毎年審査を重ねた際の過去のエビデンスや準拠状況の変化を両者で確認できるという。

 両社は、PCIDSS準拠の必要性が増しているアジア太平洋地域全域に向け、日本発のサービスとして提供していく予定。価格は98万円(税別)から。さらに今後はPCIDSSにとどまらず、ISO27001やISO9000などの認証規格においてもサービスを順次開発・提供していく考えだ。

川島 弘之