2021年2月18日8:00
国際的な決済のセキュリティ基準を想定したシステム設計
ローソン銀行は、ローソン店舗などで共通ポイントサービス「Ponta(ポンタ)」が貯まり、利用できるクレジットカード「ローソンPontaプラス」を2019年1月15日から発行しているが、2019年9月にPCI DSS v3.2.1の準拠証明書を取得した。同行にとってATM業務に次ぐPCI DSS準拠の経緯について、話を聞いた。
※書籍「キャッシュレス・セキュリティガイド」より
ATM業務は2016年に準拠
イシュイングは準拠を想定したシステム設計に
ローソン銀行は、2018年8月に銀行免許を取得して、同9月に銀行として開業した。同10月に銀行口座のサービスを開始して、2019年1月に同行自らのイシュイングによるクレジットカード「ローソンPontaプラス」を発行している。「ローソンPontaプラス」の会員数は現在9万人。ローソン店舗でPontaポイントを貯めたり使えたり、無料クーポンをお得に使えたり、ローソンや関連施設の利用で特典が受けられる。
ローソン銀行では、ATM業務において、事業承継前に同業務を運営していた株式会社ローソン・エイティエム・ネットワークスが2016年7月にPCI DSSを取得しており、毎年審査を継続している。イシュイング業務においても2018年10月に審査・コンサルティング会社に依頼して取得の準備を開始した。
イシュイング業務の開始に向けて、「PCI DSSは経済産業省の実行計画でも定められていますので、準拠すべきものであると考えました。システムを構築する際もPCI DSS準拠を想定してシステムを設計しております」と、ローソン銀行 リテール事業部 武田直樹氏は説明する。
三菱UFJニコスのサーバとセキュアに接続
カード番号以外で会員情報を管理
PCI DSSの審査で鍵となるスコープ(対象範囲)の設定に際しては、イシュイング担当はシステムの知見が必要だったこともあり、システム部の協力を得た。ローソン銀行のイシュイング業務は三菱UFJニコスに業務委託している。カード番号は三菱UFJニコスから提供される業務端末のみで管理し、同行のシステムで取り扱わないことを念頭に置いてシステム設計しているため、PCI DSSの要件の多くを審査項目から減らすことができた。そのため、PCI DSSの対応は、人的な管理や物理的な管理、規定類がメインとなった。
コールセンター業務、大崎でのマーケティング業務では、三菱UFJニコスのサーバとセキュアに接続されているため、セキュアな運用を行っている。コールセンターでは、会員からの問い合わせに対し、カード会員情報を検索する必要がある場合でもカード番号以外の情報で運用している。もう1つは、マーケティングでの分析時やPontaポイントを付与する際に、同行独自のお客様番号をキーとしてカード番号を使用しない形で運用している。商品開発の際は、個人情報を扱う時だけセキュリティルームに入って作業をしている。
「Pontaポイントを付与する際は、カード番号は抽出しないようにしています。当行独自に割り振っているお客様番号を持たせていて、それで三菱UFJニコスの業務端末に保有している情報と当行のシステムで管理している情報を紐づけしています」(武田氏)
