PCI DSS準拠審査を担うQSA(認定セキュリティ評価機関)とは
QSA(Qualified Security Assessor:認定セキュリティ評価機関)は、PCI SSC(Payment Card Industry Security Standards Council)から正式に認定を受け、PCI DSSへの準拠状況を評価する権限を持つ専門機関です。クレジットカード情報を扱うEC事業者、決済代行会社、カード発行会社などは、年1回のQSA訪問審査を通じて準拠証明書(AOC)と準拠報告書(ROC)を取得する必要があります。
日本国内では現在20社以上のQSAが認定されており、NRIセキュアテクノロジーズ、富士通、ユービーセキュア、NTTデータ、レオンテクノロジー、BSIジャパンなどが主要プレイヤーとして活動しています。QSAは定期的に講習を受け、最新のPCI DSSバージョンに対応するための試験に合格し、資格を継続的に更新することが求められます。
2024年4月以降、PCI DSS v4.0への移行が本格化しており、v3.2.1からの要求事項の強化に対応したQSAを選定することが重要です。また、QSA資格に加えてASV(認定スキャニングベンダー)、P2PE QSA、3DS Assessor、PA-QSAなど複数の認定を保有する機関であれば、脆弱性スキャンや決済アプリケーション審査までワンストップで依頼でき、コスト効率と運用負荷の両面で優位性があります。
QSA選定では、費用(審査費用は年間数百万円が目安)だけでなく、自社の業界における実績、日本語での審査対応、コンサルティングから審査までの一貫支援の可否、認定取得後の運用サポート体制など、総合的な評価が求められます。日本カード情報セキュリティ協議会(JCDSC)のウェブサイトでは、国内QSAの特色・連絡先一覧が公開されており、PCI SSCの公式サイトではグローバルなQSAリストを検索できます。