PCI DSS2026.06.01
PCI DSSオンサイト評価をご検討中のお客様から、「インタビューや設定確認が完了した段階で、コンプライアンス証明書(AOC)を先行して発行できないか」というご相談をいただくことがあります。
サービス利用者への提示や、当局への提出期限など、背景にはさまざまな事情があると考えられます。しかしながら、この点についてはPCI DSSのルール上、明確に認められていません。
PCI SSC(Payment Card Industry Security Standards Council)の公式FAQ(#1375)でも、この点は明確に示されています。
ROC(Report on Compliance)が確定する前に、AOC(Attestation of Compliance)を評価対象企業に提供することはできません。
AOCは、PCI DSSの要件および評価手順に基づく最終的な評価結果を宣言する文書です。
そのため、AOCの内容はROCに記載された評価結果を前提として作成されます。
実際にAOCの記載にも、以下の趣旨が明記されています:
これらの要件からも、ROCの確定がAOC作成の前提条件であることが読み取れます。
このFAQは2016年に公開されたものですが、現在においても評価人向けのガイダンス等で繰り返し言及されており、重要なルールとして位置付けられています。
AOCは単なる証明書ではなく、評価結果に対する正式な宣言文書です。そのため、評価内容が完全に確定していない段階で発行することは、評価プロセスの信頼性を損なうことにつながります。
PCI DSS v4.0では、ROCの内容について、評価人(QSA)と評価対象事業体の双方が合意することが明確に求められるようになりました。
AOCにおける評価対象事業体の役員署名は、単なる形式的なものではなく、ROCの内容に対する正式な合意を示すものとして扱われます。
この観点からも、ROC確定前にAOCを発行することは、制度の趣旨に反するものと言えます。
弊社では、こうしたPCI DSSのルールを確実に遵守するため、お客様と協議のうえ、適切な評価期間(標準:約3カ月)を設定しております。
評価スケジュールの検討段階からご相談いただくことで、提出期限や社内調整も含め、無理のない進行をご提案することが可能です。
AOCとROCの関係を正しく理解し、適切な評価プロセスを踏むことが、コンプライアンスの確実な達成につながります。
<参考URL>
コンプライアンス報告書(ROC)が確定する前に、評価対象企業に対してコンプライアンス証明書(AOC)を提供することは可能ですか?
https://www.pcisecuritystandards.org/faqs/1375/
この記事をシェアする
PCI DSS Ver4.0.1 SAQ(D-SP)
記入例サンプル提供サービス
新書式への対応を最短支援。記載例サンプルや自社内にサーバ類を多くお持ちの環境向けサンプルなど、実践的な記載文面を多く含むサンプルをご提供予定です。
クレジットカード業界の国際的セキュリティ基準 “PCI DSS” “PCI P2PE” “PCI 3DS”への準拠をめざす企業を支援しています。
“PCI DSS” “PCI P2PE” “PCI 3DS”の準拠維持におけるコンサルティングサービスを提供しています。
“PCI DSS” への準拠及び維持に役立つ各種ソリューションを提供しています。