2016年10月25日8:00
認証取得に向けて今後取り組むべき課題を可視化することが可能に
ユーシーカード(UCカード)は、2015年にインフォセックの協力を得て、4月から9月までPCI DSSの認証取得を目指す加盟店に対し、準拠に向けた簡易診断サービスを無償で提供した。加盟店は同サービスの採用により、PCI DSSの認証取得に要する予算や人的負担を抑えることが可能となった。同取り組みの目的と成果について、UCカードに話を聞いた。
30件限定で加盟店に無償提供
問診票に回答で準拠に向けた課題を明らかに
簡易診断サービスは、加盟店に問診票に回答してもらうことで、PCI DSSへの準拠状況や、認証取得に向けて今後取り組むべき課題を可視化するために実施するもの。その後、対面による問診内容の確認や簡易診断結果の提示を経て、PCI DSSの認証取得に向けた具体策を明らかにすることが可能だ。簡易診断サービスは通常価格30万円からだが、30件限定で加盟店に無償で提供した。
UCカードは、MasterCardとVisaからライセンスを受けてアクワイアリング業務(加盟店管理業務)を実施している。同社でもセキュリティ部門を中心に、加盟店にPCI DSS準拠の提案を行っているが、「加盟店も情報保護の重要性は理解しているものの、実際に何から取り組んだらいいのかという説明を加盟店毎に合わせて行うことは難しいため、インフォセックの協力を得て、簡易診断サービスを提供することになりました。これにより、加盟店が12要件ごとの細かい自己精査をしたうえで、ステップを踏んで対応を行うことができると考えました」と営業企画部 担当部長 羽鳥正勝氏は話す。
大手家電量販店などが簡易診断サービスに取り組む
加盟店のセキュリティへの意識も徐々に高まる
UCカードでは、大手加盟店を中心に、簡易診断サービスを提案。インフォセックに対しては、事前にUCカードが30社分の診断サービスを支払い、権利を購入する形となった。当時、PCI DSSの準拠は大手モールやインターネットサービスプロバイダから進んでいたため、インターネット加盟店の申し込みを想定していたが、大手家電量販店などからも申し込みがあった。加盟店の中にはPCI DSSの準拠を真剣に考えている企業もあったが、準拠の必要性を理解してもらうのは苦労する部分もあり、30件の枠はすべて埋まらなかったそうだ。ただ、クレジット取引セキュリティ対策協議会の「クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画」が出る2016年2月よりも半年早く加盟店にPCI DSS準拠を提案できたことはプラスとなった。
※「不正利用対策・PCI DSSガイドブック」から一部抜粋
