PCI DSSのISA(内部監査人)のメリットとは? 加盟店は組織内部でPCI DSSへの準拠を評価することが可能に

2018年7月13日8:10

PCI DSSの「ISA(Internal Security Assessor:内部監査人)」は、所属組織内部でPCI DSSに関する専門組織を身につけ、PCI DSSへの準拠を評価することが可能となる内部監査人だ。PCI DSSの訪問審査を行う「QSA(Qualified Security Assessors:認定審査機関)」レベルのセキュリティ技術を身につけている内部監査人となる。2012年に国内で初めてISAの資格を取得した大日本印刷(DNP) 情報イノベーション事業部 C&Iセンター セキュリティソリューション本部トータルセキュリティ営業部BR&コンサルティング課 課長 佐藤 俊介氏に同基準に準拠したメリットについて話を聞いた。

2012年に国内で初めてISA資格を取得
QSA同等の能力が求められる

DNPでは、カードの発行やプロセッシング等を行っているが。PCI DSSに関しても、2008年に3-Dセキュアの本人認証サービス「SIGN3D(サインド)」において、完全準拠を達成しており、現在は他の業務でもPCI DSSを取得している。

大日本印刷(DNP) 情報イノベーション事業部 C&Iセンター セキュリティソリューション本部トータルセキュリティ営業部BR&コンサルティング課 課長 佐藤 俊介氏

佐藤氏自身、当時VisaやMastercardといったカードブランドの製造工場に関する監査を集中的に行う部署に所属しており、2012年に国内の企業としては初めて、PCI DSSの内部監査人の資格であるISA資格、およびPCI DSSの専門家であると認められる「PCIP(Payment Card Industry Professional)」資格を取得している。

2012年当時は、PCI SSCでもISAの資格がスタートしたばかりだったが、Visaが開催した国際会議の参加費の中に、ISAの教育コースの費用が含まれていたため、試験を受けることとなった(当時は英語のみの試験)。結果、日本からは4名が受験し、3名が合格。試験自体もQSAの受験とほぼ同じ問題であり、同等の能力が求められた。

実際の試験に向けては、まず7時間の基礎コース(PCI Fundamentals)をオンラインラーニングで受講しテストを受けるが必要となる。何度落ちても期日までに合格できれば、その後の実地講習を受けることができる。2日間の講習を経た後の75問90分の修了試験で、75%正解率で合格となる。なお、オンラインラーニングも修了試験も4択問題となっており、それは現在も変わらないそうだ。

国内でも楽天などISAの資格者が続々と登場
PCI SSCからの最新情報もキャッチアップ

(書籍「カード決済セキュリティ PCI DSSガイドブック」より大日本印刷の記事の一部を紹介)

page toppagetop