2017年9月5日8:00
複数の非対面加盟店のカード情報処理をサポート可能なセンターを構築
データリンクスは、2017年2月28日にPCI DSS Version 3.2に完全準拠し、クレジットカード情報を使用したアナログ処理 (伝票、FAX、はがき、電話等)を行っている事業者のカード情報非保持化を支援するセンター「セキュリティサポートセンター」の本格運用を5月から開始した。同社がPCI DSSに準拠し、PCI DSSプラットフォーム対応のセンターを構築した理由について話を聞いた。
BPOの強みを活かしPCI DSSプラットフォーム対応のセンターを構築
PCI DSSに対応したクラウドサービスを利用
データリンクスは、インテグレーションサービスとBPO(ビジネス・プロセス・アウトソーシング)を二軸にサービスを展開している。BPOサービスでは、通販会社などのデータエントリーと電話処理業務を実施。同社がサービスを展開する上で強みとなるのは、首都圏にBPOセンターを設けていることだ。マイナンバーのサービスがスタートした際、首都圏の官公庁や企業から短時間で往訪可能な場所にセンターを設けていることがアドバンテージとなった。
同社では、個人情報の管理は従来のBPOサービスでも厳格に行っていたが、PCI DSSプラットフォーム対応のセンター「セキュリティサポートセンター」を目指し、PCI DSSに準拠することになった。クレジットカードを含む電話決済・データ入力などの業務をアウトソースしてもらうことで、クレジットカード番号の非保持化を実現できるビジネスを展開するというものだ。準拠に向けた検討は2016年4月から開始し、同年7月に準拠の意思を固めた。
スムーズな準拠に向け、PCI DSSに対応したリンク社のクラウドサービスを利用した。当初は、自社ですべての仕組みを構築することも考えたが、「2018年3月の実行計画に向けた支援のため、いち早く準拠すべく、クラウドサービスを利用しました」と、データリンクス 執行役員 ニュービジネス推進部長 藤本恵祐氏は説明する。
PCI DSSの要件は、ほぼすべての項目が対象となった。同社では、カード情報を自社で長期にわたり保持することは考えておらず、加盟店に代わって、電話などのオーソリゼーションを請け負い、カード番号は決済代行事業者を通じて処理を行う。また、決済処理後は、同社が処理したカード情報は速やかに削除する仕組みだ。
PCI DSS要件3と8の対応で苦労
代替コントロールは2カ所適用
データリンクス ニュービジネス推進部 セキュリティサービス推進チーム プロジェクトリーダー 加藤宏明氏は、「基本的な設備はクラウドサービスを使用しましたので、初期設定やサーバネットワークに関するセキュリティ設定は苦労しませんでした。ただ、当社側のセンター側のネットワークは、かなり厳しい制限をかけ、細かい対応をしなければいけませんでした。特に要件3(保存されるカード会員データを保護する)と8(システムコンポーネントへのアクセスを識別・認証する)は難しいところでした」と打ち明ける。
(書籍「ペイメントカード情報セキュリティ対策の仕組み」よりデータリンクス準拠事例の一部を紹介)
