りらいあコミュニケーションズ、業務受託先からのコールセンター業務用ネットワークでPCI DSSに準拠

2016年8月24日8:00

スコープの設定に向け、委託元との責任分解書を作成し準拠を達成

りらいあコミュニケーションズは、2016年2月、PCI DSS Version3.1の認証を取得した。認証範囲は、業務委託先にかかわるコールセンター業務用ネットワークとなっている。同社では、カード決済は保持していないが、伝送を行っているため、PCI DSSの準拠が求められた。

グローバルのサービスプロバイダから業務を受託
カード決済は非保持だが、伝送部分で準拠が必要に

りらいあコミュニケーションズは、1987年設立の大手BPO（Business Process Outsourcing）サービス会社。全国に30カ所以上のオペレーションセンターを配置し、グループ全体で2万人を超えるスタッフがコールセンター、バックオフィス、対面営業支援、Webマーケティングなどの顧客接点周辺のBPOサービスに従事、通信、放送、金融、公益など国内主要企業向けにサービスを提供している。

同社では、業務委託先から2016年2月までのPCI DSS準拠が契約事項の必須項目となるという話を受け、準拠への対応を開始した。業務委託元はグローバルのサービスプロバイダであり、ソフトウェアメーカー企業である。委託元は、ネットショップを運営しており、電話窓口はりらいあコミュニケーションズが受託しているため、PCI DSSの準拠が求められた。

りらいあコミュニケーションズ ITサービス本部　ITサービス事業部　第二サービス室長 濱根暁氏は、「お客様はグローバルベンダーになりますが、PCI DSSに関してはそれぞれの国では対応されていると伺っています。お客様とは電話、チャット、一部でメールでの業務を請け負っていますが、メールとチャットについてはクレジットカード番号の取り扱いを禁止しているため、電話に限りクレジットカード情報を取り扱っています」と説明する。

従来はクレジットカードの処理は行っていたが、自社ではメモを禁止しており、また社内上は発注側のシステムにもクレジットカード番号は残らない。さらに、コールセンターの対応時にもカード情報にかかわる部分は録音を禁止している。そのため、「保持している件数はゼロでしたが、PCI DSSの審査が求められました」と濱根氏は話す。

PCI DSSの審査対象となったのは、クレジットカード業務にかかわる“伝送”部分となる。オペレーターが耳で聞き取り、委託元の業務アプリケーションにインプットする作業を実施。その際に、同社のネットワーク機器を通過し、委託元のデータベースを通過するため、伝送が対象項目となった。

対応当初は、準拠は絶望的な感触を受ける
委託元の業務を切り離す目的で責任分解書を作成

準拠への対応にあたり、2015年8月から準備を開始。同社ではすでにプライバシー・マークやISMSの取得経験があったが、「PCI DSSの要件をみて、最初は絶望的でした」と、りらいあコミュニケーションズ システム・設備本部　システム・設備部 システム企画開発室　金村芳幸氏は打ち明ける。実際、コンサルティングを担当した富士通エフ・アイ・ピーからは、「フィット＆ギャップの際に『2月は間に合いませんね』と言われました」と苦笑する。

「私自身がプライバシー・マークとISMSの両審査の取得と運用の経験がありましたが、PCI DSSはそれらの審査とは比較にならない量とレベルを求めてきましたので、2016年2月までできるか不安でした」（金村氏）

まずは、どのチームがどういう問い合わせ内容でクレジットカード情報を受け取るかというオペレーション内容の確認からスタート。スコープの設定では、仮にクレジットカード情報を扱わない業務でも、当該業務と同一のネットワーク上にあればPCI DSSの対象となる。また、他の業務と部屋が分離されているわけではなかったので、スコープの設定で苦労したそうだ。

「すべての業務を弊社が行っているわけではなく、業務アプリケーションや電話システムも委託元なので、最初のうちは除外だと簡単に括っていましたが、完全にスコープから外すことができないとわかりました。そのため、委託元と弊社の責任分解書のような念書を作成し、委託元と合意するプロセスを踏んでスコープの範囲を決めました」（金村氏）

※「不正利用対策・PCI DSSガイドブック」から一部抜粋