2018年8月23日7:30
カード情報の非保持化を支援するBPOサービスの受注を開始
共同印刷は、データ加工処理の専門センターである川島ソリューションセンター(埼玉県比企郡)に構築した環境において、ペイメントカード業界のセキュリティ基準である「PCI DSS」へ準拠して、クレジットカード加盟店におけるカード情報の非保持化を支援するBPOサービスの受注を開始した。同社のPCI DSS準拠に向けた取り組みについて、話を聞いた。
通販事業者などのカード情報の入力処理を代行
川島SCにカード情報を処理の専用エリア設置
「改正割販法で加盟店がカード情報の非保持化を求められるなかで、カード番号が書かれている紙の処理を担えるように短期間でセンターを立ち上げました。工場の一角を専用設備にして、非保持化の対応の環境を整えています」(共同印刷 ビジネスメディア事業部 営業企画部 部長 森喜之氏)
共同印刷では、国際ブランド認定工場として、かねてからクレジットカードの製造・発行を行っており、PCI カードプロダクションの規約に準拠している。今回、新たなビジネスとして、カード加盟店である通販事業者などが自社内で実施していることが多い、メールオーダーやはがきオーダーにおけるカード情報の入力処理(データ化)を代行するBPOサービスを行うこととなった。
新たにカード情報の非保持化を支援する川島SCは、2002年に稼働。大量のデータプリント処理が可能な技術と設備を保有する設備となる。BPOについては、同時期からスタートしていたが、PCI DSSに準拠したセンターを立ち上げ、通販や、定期・定例課金を行う会社向けにBPOサービスを行うこととなった。
共同印刷では2017年夏から検討を開始し、10月から構築に着手。クレジット取引セキュリティ対策協議会の実行計画で求められたEC加盟店、MOTO加盟店の期限である2018年3月までの準拠を目標にプロジェクトをスタートしている。森氏は、「数多くの通販事業者などが決済代行会社で決済処理を行っていますが、その業務をそのまま引き継げる環境を構築しました。川島SCにカード情報を処理する専用のエリアを設けています」と説明する。
同サービスの利用により、カード加盟店は、業務フローの大幅な変更や、自社システムや環境をPCI DSSに準拠させ、継続して整備・維持するための多額のコストを生じさせることなく、業務を継続することが可能だという。同部 製品サービス設計本部 製品サービス設計部第2課 担当課長 篠原勲氏は、「データベースを持たず、データを処理後、カード情報を破棄する形となり、ストレージに保存せず、紙としても情報は残しません」と話す。
PCI DSS要件の200項目以上が対象に/代替コントロールは数カ所適用
事前の予備調査なく完全準拠達成/拠点が数多くある企業などの利用を目指す
(書籍「カード決済セキュリティ PCI DSSガイドブック」より共同印刷の記事の一部を紹介)