【ニュースリリース】国内初、ＮＴＴデータ先端技術がPCI PIN Securityの評価機関（QPA）に認定

～PCI PIN Security要件に準拠するATMやPOSにおける審査を日本語で実施可能に～

ニュースリリース - 2019.06.28

ＮＴＴデータ先端技術株式会社（以下：ＮＴＴデータ先端技術）は6月、国際セキュリティ基準の開発、維持・管理、および評価機関の認定等を実施する米国の有限責任会社PCI SSC (PCI Security Standards Council)^＊1より、「QPA (Qualified PIN Assessor^＊2)、以下: QPA」に認定されました。
「QPA」とはクレジットカード取引におけるPIN (Personal Identification Number、個人識別番号/暗証番号) データの安全な管理・処理および伝送をするためのセキュリティ要件「PCI PIN Security」^＊3を満たす事業者を評価する機関です。
今回ＮＴＴデータ先端技術がQPAに認定されたことで、PCI PIN Security準拠を求められるATM等のオンラインPINを中継する銀行やカード会社、カード決済ネットワーク事業者などといった事業者等に対して、システム設定や設備調査等の審査を行うことができるようになりました。事業者は、PCI PIN Security準拠に認定されることで、自社ATMやPOSをはじめとした決済端末およびシステムの高セキュリティ性が保証され、ブランドイメージ向上につなげることができます。
従来は日本語話者の審査員が存在しなかったため、審査を外国語か通訳付きで行う必要がありましたが、ＮＴＴデータ先端技術が国内初のQPA認定を受けたことで、審査時インタビューや各種ドキュメント整備を、日本語で円滑に実施することが可能になります。
ＮＴＴデータ先端技術は、従前より提供しているクレジットカード決済に関するセキュリティ基準の準拠支援コンサルティングおよび審査サービスの実績とノウハウを生かし、PIN Security審査へサービスを拡大することで、ATMおよびPOSにおけるクレジットカード決済のセキュリティレベルの向上に寄与することを目指します。

背景と概要

日本国内では、2016年6月2日に閣議決定された「日本再興戦略2016」により、訪日外国人旅行者が快適に観光を満喫できる環境整備の一環として、金融機関の海外発行カード対応ATMの設置が推進されてきました。この結果、2019年3月末時点で国内に3,030台^＊4の海外発行カード対応ATMが設置されています。
このようなATMでカード所有者が入力するPINの安全な保護は、暗号技術によって実現されており、その暗号鍵の管理を含むシステムのセキュリティ要件は、PCI PIN Securityによって標準化されています。
ＮＴＴデータ先端技術は2015年に海外発行カード対応ATMのPCI PIN Security準拠に関わるコンサルティングサービスの提供を開始して以来、メガバンクおよび地方銀行向けのATM関連システムにおいて支援の実績を積んできました。
こうした状況の中、PCI PIN Securityの評価機関認定に関わる制度は、これまで国際ペイメントブランドによって管理されていましたが、2019年1月よりPCI SSCへの移管が進められてきました。
そしてこの度、2019年6月に初回の開催となった米国でのQPA認定トレーニングに当社が参加し、PCI SSCよりQPA認定を受けました。

QPAの認定について

ＮＴＴデータ先端技術が「QPA」資格を認定され、PCI PIN Security評価機関として登録されたことで、審査対象となる事業者（ATM等のオンラインPINを中継する銀行やカード会社、カード決済ネットワーク事業者等およびATMやPINパッドの暗号鍵管理に関わる事業者など）が、PINの保護・管理等に係る高度なセキュリティ要件である「PCI PIN Security」に準拠しているか審査することができます。
従来、審査は外国語のみで実施されており、審査にあたって必要となるセキュリティポリシー等の規程類、システムの設計書や各種運用の手順書等といった書類を翻訳したうえ、通訳等を通じてインタビューを実施する必要がありましたが、今回当社が国内で初めてQPAとして認定されたことで、これら審査に係る全工程をすべて日本語で円滑に実施することが可能になりました。
事業者においてはPCI PIN Security準拠に認定されることで、自社ATMやPOSをはじめとした決済端末およびシステムの高セキュリティ性が保証され、ブランドイメージ向上につなげることができます。

なお、PCI PIN Securityの審査は、ROC（Report on Compliance、準拠報告書）やAOC（Attestation of Compliance、準拠証明書）などの報告書式がテンプレート化され、代替コントロール※5が適用できるようになった最新バージョン3.0での審査を受けることが可能です。

今後について

ＮＴＴデータ先端技術は、従前より提供しているクレジットカード決済に関するセキュリティ基準の準拠支援コンサルティングおよび審査サービスの実績とノウハウを生かし、PIN Security審査へサービスを拡大することで、ATMおよびPOSにおけるクレジットカード決済のセキュリティレベルの向上に寄与することを目指します。

参考

• PCI DSSトータルサービス
  http://www.intellilink.co.jp/business/security/consulting_09
• PCI訪問調査サービス
  http://www.intellilink.co.jp/business/security/diagnose_02
• PCI DSS徹底解説（コラム）
  http://www.intellilink.co.jp/column/pcidss.html

• ＊1: PCI SSC…国際ペイメントブランド会社5社（VISA、MasterCard、JCB、American Express、Discover）が設立した、PCI DSSなどの国際セキュリティ基準の開発、維持・管理、および評価機関の認定・品質管理を実施する米国の有限責任会社（LLC）。
• ＊2: QPA…PCI SSCからトレーニングを受け認定されたセキュリティ評価機関。PIN Security要件準拠を求められた事業者やその委託先事業者に対して、インタビュー、ドキュメント調査、システム設定調査、設備調査などの審査を正式に行うことができる。
• ＊3: PCI PIN Security…ATMおよび有人・無人のPOS端末でのオンラインおよびオフラインの支払カード取引処理中のPINデータの安全な管理、処理、および伝送のための要件を定めたセキュリティ基準。
• ＊4:「観光ビジョン実現プログラム 2019」（観光立国推進閣僚会議）
• ＊5: 要件に記載どおりの管理策を満たすことができない制約がある場合、一定の条件を満たすことで要件に適合したとみなすことができる代替の管理策。PCI PIN Security v2.0以前のバージョンでは認められていなかった。

• ＊文中の商品名、会社名、団体名は、各社の商標または登録商標です。

本件に関するお問い合わせ先

報道関係のお問い合わせ先

ＮＴＴデータ先端技術株式会社

営業推進部 営業推進担当 広報グループ
甘田（かんだ）
Tel：03-5843-6860

製品・サービスに関するお問い合わせ先

ＮＴＴデータ先端技術株式会社

セキュリティ事業部 セキュリティコンサルティング担当
池谷（いけや）、羽生（はにゅう）
Tel：03-5859-5428