三井住友カード株式会社(2009年更新審査)

2010年4月20日  14:05
 
厳密になった規格に対し予備調査を行うことでクリア
自社の経験を生かして加盟店へのサポートも

三井住友カードでは、インターネットサービス環境を対象に、2007年9月に国内カード会社として初となるPCI DSS Ver.1.1の認定を取得した。また、同1.2の取得のための対応も進めている。同社ではその経験を生かして、加盟店にPCI DSSの認証取得の推奨を行っている。 

審査基準の厳密化に備え 

今回は予備調査を実施 

三井住友カードでは、PCI DSS Ver.1.2を取得するために2009年に予備調査を実施している。 

システム企画部 グループマネージャー 神野明久氏

「アメリカでPCI DSSに完全準拠していた企業から情報漏洩が起きたという経緯もあり、PCI SSCがQSAの審査結果を監査する体制がとられているようです。そのため、1.1の時のようにはいかないのではないかと予想したのが、今回、予備調査を実施した理由です。実際、1.1の時には証跡を求められなかった箇所でも、今回はかなり細かい点まで審査が及びました」(三井住友カード セキュリティー管理部 グループマネージャー 田添裕嗣氏) 

脆弱性のスキャンや暗号化など、代替コントロールが必要になった箇所は前回より増え、セキュリティパッチの適用も厳密になったという。
「以前なら、口頭の確認だけで済んでいた部分も、今回は書類の確認が必要になりました。QSAとしては『やる以上は徹底してやる』という姿勢でしたね」(システム企画部 グループマネージャー 神野明久氏) 

ブランドの意向に沿う形で 

カード会社もPCI DSSの審査対象に 

そもそも、カード会社は厳密に言えばPCI DSSの審査対象ではなかった。しかし、VisaでVNP(ビザ・ネット・プロセッサー)というプログラムが制定され、プロセッサー、つまり他社のカードを受託しているカード会社もPCI DSSの準拠が必要になった。 

セキュリティー管理部 グループマネージャー 田添裕嗣氏

「ブランドとしてはやはり、自ブランドカードで情報漏洩などが起こるという事態はなるべく避けたいわけです。そこで、まずはカード会社に徹底したセキュリティ態勢をとらせたいと考えた。その結果、PCI DSSのような目に見える形の規格を、しかも期限を決めて適用させようとしているのではないでしょうか」(田添氏) 

カード会社にとっても、ブランドの信用は自社の存続にかかわる。さらに田添氏は「セキュリティの問題はカード業界全体の問題です。エンドユーザーからクレジットカードに対する信用を失わせてはいけない。そのためには、ブランドがどうとかではなく、やはり業界全体のインフラとして、PCI DSSを統一の規格とする意気込みで取り組んでいかなければいけないと思っています」と続ける。 

 加盟店に対するサポートに意欲 

業界全体の推進力に 

次の段階としては、個々の加盟店にいかに浸透させていくかということになる。三井住友カードではブランドの要請を受け、加盟店にPCI DSSの認証取得の推奨を行っているが、同社 セキュリティー管理部 グループマネージャーの三好一也氏は「はじめからPCI DSSという規格の説明をするよりも、まずはセキュリティに対する認識をわれわれと同じレベルで持ってもらうことが大切だと考えています。特にインターネット上からのカード番号盗用には注意が必要です」と言う。 

セキュリティー管理部 グループマネージャー 三好一也氏

たとえば、ネット加盟店において、万が一個人情報が漏洩した場合、少なくとも10日~12日程度の業務停止を余儀なくされる。さらに、ユーザーへの謝罪として用意しなければいけない金額もばかにはならない。もちろんそういった時のために漏洩保険をかけているという加盟店もあるだろうが、その場合でも信用失墜によるその後の売り上げ減少は大きな痛手となるだろう。 

「セキュリティを取り扱うということには、それだけのリスクがあるということをまずは意識していただきたいのです。そうしたリスクを未然に回避するためにPCI DSSのような規格があるとご説明しています」(前出 田添氏)
ただPCI DSSは毎年審査があり、バージョンの更新も頻繁にあるため、加盟店にとっては負担が大きいのも事実だ。 

「現実的な対処法として、カード情報をサーバの一箇所に集約させて審査の対象範囲を狭めることで審査コストを下げることができると思います。信用できる決済代行事業者様にカード情報を預けるといった方法もひとつのアプローチだと思います。われわれがPCI DSSの認証で経験したことを加盟店様に伝えて、できるだけ負担を減らすような方法を一緒に考える。そういったサポートをこれから力を入れてやっていきたいと思っています」(田添氏) 

ブランドと加盟店をつなぐ位置にある同社が業界の連携を促し、気運を盛り上げていくことが、セキュリティに対する業界全体の取り組みの活性化につながると期待したい。

※三井住友カードは2010年3月25日付けで、カード会員向けインターネットサービス「Vpass(ブイパス)」において、PCI DSS Ver.1.2の遵守証明を取得した。

■PCI DSS準拠企業の事例一覧へ

関連記事

ペイメントニュース最新情報

ポータブル決済端末、オールインワン決済端末、スマート決済端末、新しい決済端末3製品をリリースしました(飛天ジャパン)

国内最大級のクレジットカード情報データベース(アイティーナビ)

「お金の流れを、もっと円(まる)く」決済ゲートウェイ事業のパイオニアとして、強固なシステムでキャッシュレス決済を次のステップへと推進します。(ネットスターズ)

国内最大級の導入実績を誇る決済代行事業者(GMOペイメントゲートウェイ)

決済シーンにdelight(ワクワク感)を!PCI P2PE 認定国内実績 No.1の「確かな信頼」を提供します(ルミーズ)
電子マネー、クレジット、QR・バーコード、共通ポイントなど、多数のキャッシュレス決済サービスをワンストップで提供(トランザクション・メディア・ネットワークス)
決済領域を起点に多様なビジネスニーズに応える各種ソリューションを提供(インフキュリオン)
ReD ShieldやSift等の不正検知サービスを提供し、お客様の不正対策を支援(スクデット)
BtoCもBtoBも。クレジットカード決済を導入するならSBIグループのゼウスへ。豊富な実績と高セキュリティなシステムで貴社をサポートいたします。(ゼウス)
TOPPANの決済ソリューションをご紹介(TOPPANデジタル)
多様な業界のニーズに対応した、さまざまなキャッシュレス・決済関連サービスを提供する総合決済プロバイダー(DGフィナンシャルテクノロジー)
決済業務の完全自動化を実現する「Appian」とクレジット基幹プラットフォームを合わせてご紹介!(エクサ)
チャージバック保証、不正検知・認証システムなどクレジットカード不正対策ソリューションを提供(アクル)

非対面業界唯一!!カード会社とダイレクト接続により、安心・安全・スピーディーで質の高い決済インフラサービスを提供。Eコマースの健全な発展に貢献する決済代行事業者(ソニーペイメントサービス)

stera terminalでお店のポイントがつけられる「VALUE GATE」(トリニティ)

Spayd スマートフォン、タブレットがクレジット決済端末に!(ネットムーブ)

DNPキャッシュレス 決済プラットフォームをご紹介(大日本印刷)

PAGE TOP