PCI ガイドライン PCIアセスメントへのAIの統合 (2025.03.17)
こんにちは、丸山満彦です。
PCI/DSSが、PCI アセスメントにおける AI の責任ある使用を支援するための新しいガイダンスを発表していましたね...
- AIはツールであり、評価者ではない。
- AIの役割は専門知識の強化であり、人間の代替ではない。
- 人間の評価者は、すべての調査結果と最終決定について責任を負う
会計監査を含め、あらゆる場面で同じことでしょうね...
| New Guidance: Integrating Artificial Intelligence into PCI Assessments | 新しいガイダンス:PCI アセスメントへの人工知能の統合 |
| Artificial intelligence (AI) is transforming industries, and the PCI Security Standards Council (PCI SSC) has introduced new guidance to support the responsible use of AI in PCI assessments. The guidance provides a balance between leveraging the benefits of AI while maintaining the high standards of security that protect payment card data worldwide. | 人工知能(AI)は業界を変革しており、PCI セキュリティ基準協議会(PCI SSC)は、PCI アセスメントにおける AI の責任ある使用を支援するための新しいガイダンスを発表しました。このガイダンスは、AI のメリットを活用しながら、世界中で決済カードデータを保護する高いセキュリティ基準を維持するバランスを保っています。 |
| AI has the potential to enhance the efficiency, accuracy, and consistency of PCI assessments. When properly implemented, AI can automate key aspects of the assessment process, from document reviews, to creating work papers and PCI reports. By reducing manual effort and minimizing human error, AI can streamline workflows. However, AI can also introduce false positives, incorrect assumptions, and biases, requiring additional considerations and human oversight to prevent these issues. | AI は、PCI 評価の効率、正確性、一貫性を高める可能性を秘めています。適切に導入された場合、AI は、文書のレビューから作業書類や PCI 報告書の作成に至るまで、評価プロセスの重要な側面を自動化することができます。手作業を減らし、人為的ミスを最小限に抑えることで、AI はワークフローを効率化することができます。しかし、AI は誤検知、誤った仮定、バイアスをもたらす可能性もあり、これらの問題を防ぐためには追加の考慮事項と人間の監督が必要となります。 |
| The new guidance emphasizes that AI is a tool, not an assessor. Human assessors remain responsible for all findings and final decisions, ensuring that AI’s role is to enhance expertise, rather than replace it. | 新しいガイダンスでは、AI はツールであり、評価者ではないことを強調しています。人間の評価者は、すべての調査結果と最終決定について引き続き責任を負い、AI の役割は専門知識の強化であり、その代替ではないことを確保します。 |
| The new guidance document, “Integrating Artificial Intelligence in PCI Assessments – Guidelines, Version 1.0,” provides a framework for payment security assessors on best practices for using AI responsibly during assessments. The document covers key points, including: | 新しいガイダンス文書「PCI 評価への人工知能の統合 – ガイドライン、バージョン 1.0」は、評価中に AI を責任を持って使用するためのベストプラクティスに関する、決済セキュリティ評価者向けの枠組みを提供しています。この文書では、以下の重要なポイントを取り上げています。 |
| ・Informing clients of AI involvement, obtaining their consent, and providing assurances about the security of client data and the accuracy of assessment results. | ・AI の使用について顧客に通知し、同意を得るとともに、顧客データのセキュリティと評価結果の正確性について保証すること。 |
| ・Using AI in reviewing artifacts, creating work papers, conducting remote interviews, and generating final assessment reports. | ・成果物のレビュー、作業書類の作成、リモートインタビューの実施、および最終評価レポートの作成に AI を使用すること。 |
| ・The importance of data handling protocols, AI system validation, ethical use, and regular updates to ensure the security and accuracy of outputs. | ・出力のセキュリティと正確性を確保するための、データ取り扱いプロトコル、AI システムの妥当性確認、倫理的な使用、および定期的な更新の重要性。 |
| As AI technologies continue to evolve, these guidelines provide a strong foundation for their responsible integration into PCI assessments. These guidelines will support assessors as they modernize assessment processes while maintaining rigorous standards that protect payment card data worldwide. | AI テクノロジーは進化し続けているため、このガイドラインは、PCI アセスメントに AI を責任を持って統合するための強固な基盤となります。このガイドラインは、世界中でペイメントカードデータを保護する厳格な標準を維持しながら、アセスメントプロセスの近代化を進めるアセスメント事業者をサポートします。 |
・[PDF] Payment Card Industry (PCI) Integrating Artificial Intelligence in PCI Assessments
目次...
| 1 Introduction | 1 序文 |
| 1.1 Purpose and Intended Use | 1.1 目的と使用目的 |
| 2 AI is a Tool, not an Assessor | 2 AI は評価者ではなくツールです |
| 3 Transparent Client Communication | 3 クライアントとの透明性の高いコミュニケーション |
| 3.1 Declaring AI Usage | 3.1 AI の使用の開示 |
| 4 AI Use in PCI Assessments | 4 PCI アセスメントにおける AI の使用 |
| 4.1 Review of Artifacts | 4.1 成果物のレビュー |
| 4.2 Creation of Work Papers | 4.2 作業書類の作成 |
| 4.3 Conducting Remote Interviews | 4.3 リモートインタビューの実施 |
| 5 AI Use in Creating Suggested Wording for Final Assessment Reports | 5 最終アセスメントレポートの推奨文言の作成における AI の使用 |
| 5.1 Final Assessment Reports | 5.1 最終アセスメントレポート |
| 5.2 Addressing AI Challenges | 5.2 AI の課題への対応 |
| 5.3 Validation Process | 5.3 妥当性確認プロセス |
| 5.4 Keep AI Policies and Procedures Current | 5.4 AI ポリシーおよび手順の最新の状態の維持 |
| 5.5 Limitations and Risks | 5.5 制限およびリスク |
| 5.6 Integration with Templates | 5.6 テンプレートとの統合 |
| 5.7 Ethical and Legal Considerations | 5.7 倫理的および法的考慮事項 |
| 6 Responsibility and Accountability | 6 責任および説明責任 |
| 7 Documented Policies and Procedures for AI Use | 7 AI 使用に関する文書化されたポリシーおよび手順 |
| 7.1 How AI is to be Used and Validated | 7.1 AI の使用方法および妥当性確認の方法 |
| 7.2 Selection and Qualification of AI Systems | 7.2 AI システムの選択および認定 |
| 7.3 Types of Evidence AI Can Process | 7.3 AI が処理できる証拠の種類 |
| 7.4 Data Handling and Security | 7.4 データの取り扱いおよびセキュリティ |
| 8 PCI SSC Non-Endorsement of AI Products or Services | 8 PCI SSC による AI 製品またはサービスの非承認 |
| About the PCI Security Standards Council | PCI セキュリティ基準協議会について |
● まるちゃんの情報セキュリティ気まぐれ日記
・2022.04.01 PCI Data Security Standard v4.0
・2010.10.30 PCI Security Standards Council Releases PCI DSS 2.0 and PA-DSS 2.0
・2009.10.13 JIPDEC クレジット加盟店向け“情報セキュリティのためのガイド”(PCI DSS/ISMS準拠のためのガイド)を公開
・2008.06.06 「どこまで情報セキュリティ対策をすればよいのかわからない」という不満について
・2006.08.13 対策強度×保証強度
・2005.06.27 米国カード情報流出と情報セキュリティ監査
・2005.04.27 ビザとマスターカード、大手販売業者にセキュリティ対策を義務付け
・2006.07.05 クレジットカード業界のセキュリティ
« 米国 NIST CSWP 42(初期公開ドラフト) IoT セキュリティの自動化に向けて: 信頼できるネットワーク層オンボーディングの実装 (2025.04.14) | Main | 米国 AI政策戦略研究所(IAPS)AIエージェントのガバナンス: フィールドガイド (2025.04.17) »
Comments