2019年11月6日8:00
点在している情報を柔軟に保護し、PCI DSS準拠の決済処理を実現
電算システムは、暗号化・トークナイゼーションを活用したセキュリティ技術を導入し、PCI DSS に準拠したクレジットカード決済システムを実現した。割賦販売法の一部を改正する法律(改正割賦販売法)が施行され、加盟店はカード情報を保持しない(非保持化)対応の必要性が高まっており、「PCI DSS 準拠」の認定により、顧客の改正割賦販売法への支援ビジネスの強化を目指すという。
企業とコンビニ・金融機関・カード会社との橋渡しを実施
点在するプレーンテキスト情報の処理が課題に
電算システムは、通販会社などの事業者が商品代金を回収する代金・料金を収納代行するコンビニ収納代行サービスを業界に先駆けて実施。大手コンビニチェーンを含む17 社、ゆうちょ銀行と契約し全国8万以上の窓口で収納代行サービスを提供しているほか、各種決済関連サービスによって、大手から中小規模までの事業者とコンビニ・金融機関・カード会社との橋渡しを行っている。
電算システム 管理本部 業務部 林秀樹氏は、「2012 年から2013年にかけて、PCI DSS の準拠に向けた取り組みの検討をスタートし、改正割賦販売法の改正が具体化した2016 年に、準拠に向けての取り組みを始める決意をしました。社内にプロジェクトチームを立ち上げて、本格的に始動しました」と話す。同社は2016 年春から、ギャップ分析に着手する一方で、コンサルティング会社に依頼し、対応にかかる費用や工数、ソリューションを明確にしていった。
電算システムは、レガシーシステムとの関係から、プレーンテキストで保持している情報があるため、単純にデータベースの暗号化を行うだけではPCI DSS に準拠することができないという課題を抱えていた。林氏も「カード情報をお預かりしているシステムが点在しているのが課題でした」と話す。プレーンテキストで情報を扱っているアプリケーションの種類が多く、これをデータベース化するということになれば改修コストは膨らむ。
プレーンテキストをそのまま透過暗号化
トークナイゼーションによりPCI DSS の監査スコープを縮小
電算システムは、こういった課題を解決するため、キヤノンITソリューションズが提供するトークナイゼーション製品「Vormetric Tokenization with Dynamic Data Masking(VTS)」と「Vormetric Transparent Encryption( VTE)」の導入に踏み切った。
「VTE」は、透過暗号を利用し、プレーンテキストファイルを暗号化することにより、各種アプリケーション側が暗号化や復号を意識することなく、透過的に処理を行えるのが特徴だ。また、「VTS」は、ボルトレス型トークナイゼーションを利用し、データベース内の保護対象となる情報を意味のない文字列に変換し、それを使って決済に必要な処理を行うことで、通常の暗号化と異なりPCI DSSの監査対象外となる。
林氏は「クラウド上にデータを持ち出す案も検討しましたが、費用面から断念しています。点在するテキストファイルのデータを集約することは、システム変更の影響が大きすぎました。今回採用した方法は、『フォルダーごと透過型暗号をかける』という発想への転換で、課題解決に取り組みました」と話す。
足掛け2 年で準拠を果たした
「顧客データのトークン化」ビジネス拡大にも期待
※書籍「PCI DSS・カードセキュリティ・実行計画対策ガイド」より
