2016年4月16日0:04
大日本印刷(DNP)は、企業が自社のセキュリティ体制を、クレジット業界における国際的なセキュリティ基準であるPCI DSSに準拠させる際の支援を行うコンサルティングサービスを本格展開すると発表した。
日本クレジット協会は、2016年2月に発表した「クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画」で、国内のクレジットカード情報管理の基準をPCI DSSとしている。また、クレジット情報を取扱う業界各社に対して、PCI DSS準拠を前提とした情報セキュリティ管理体制を整備するように求めている。このため、自社の管理体制の中でPCI DSSにすでに準拠している部分と、現時点での未準拠の部分を把握して、すべてを準拠させるために必要な施策などについて外部の専門家に意見を求める企業が増えている。
また、クレジットカードを発行する事業者が、クラウドサービス事業者等にクレジットカード情報の取り扱いを外部委託する場合は、その外部委託事業者にもPCI DSS準拠が求められます。PCI DSS準拠は、こうしたBPO受託事業者の事業拡大に必要不可欠となるため、PCI DSS準拠を目指す企業の需要増が見込まれる。
さらに、近年、海外からの訪日旅行者が増加しており、国内企業はインバウンド対応のサービス開発を加速させている。これまで以上に、サイバー犯罪などの標的となる可能性も高まるため、今後、より高度なセキュリティ体制を構築したいという気運が高まると予想されるそうだ。
PCI DSSは、情報セキュリティ施策について具体的な数値基準を示している。このため、クレジットカード番号を機密情報や個人情報等に置き換えることにより、社内の情報セキュリティ基準としてPCI DSSを利用することができる。このことから、製造業などクレジットカード業界以外でもPCI DSSを社内のセキュリティ基準として取り入れる企業が増えてきており、今後もコンサルティングの需要増が見込まれるという。
DNPは2008年に、国内の印刷会社としてはじめてPCI DSSの認定を取得。以降、PCI DSSに関する内部監査や専門家としての資格を有する者を社内に確保し、PCI DSSに関するノウハウを蓄積してきた。また、クレジットカード国際ブランドの認定工場として、PCI DSSより厳しいPCIカード製造基準の監査を継続的に受けてきた。さらに本年1月には、DNP柏データセンターで運用するクラウド基盤サービス「MediaGalaxy(メディアギャラクシー)クラウド」で、PCI DSSの最新バージョンであるVersion 3.1の認証を取得している。
今回DNPは、こうしたPCI DSSに関するノウハウや経験を活用してPCI DSS準拠支援コンサルティングサービスを提供する。DNPでは、企業のニーズに応じて、次の4つのフェーズでコンサルティングサービスを提供する。
- PCI DSS乖離分析(PCI DSS準拠対応開始時)では、PCI DSS準拠対象範囲とPCI DSS各項目の要求に準拠できていない項目を可視化し、PCI DSS準拠認定のために必要な課題を抽出する。
- 継続的な準拠支援(PCI DSS準拠対応推進期~QSA〈認定セキュリティ機関〉によるオンサイト評価直前期)では、企業が運用のルール化、プロセスの適正化及びシステム改善を行うにあたってのアドバイス、Q&A対応等を行う。
- フォローアップ(QSAによるオンサイト評価時)では、QSAの訪問インタビューや視察時の同席およびQ&A対応等を実施する。
- PCI DSS維持フォローアップ(PCI DSS準拠後)では、定期的なフォローアップ、PCI DSSがバージョンアップされた時の最新の情報提供等を行う。
フェーズ1の費用は規模によって変動するが、1つの業務、1箇所の業務拠点、1つのデータセンターの場合で、500万円程度を予定している。フェーズ2以後は、月次毎の継続契約となる。
DNPは、PCI DSS準拠支援コンサルティングと、その結果必要となったセキュリティ強化ソリューションの提供等も合わせ、2018年度までの3年間で約10億円の売上を目指す。