2021年12月21日8:00
サーバーワークスは、琉球銀行、fjコンサルティング、GRCS、リンクと共同で、2021年12月16日に記者説明会を開催し、クラウドコンピューティングプラットフォームであるAWSを活用した、ペイメントカード情報の国際セキュリティ基準「PCI DSS」準拠のナレッジをAWSおよびPCI DSSのユーザーに情報発信するコンソーシアム「PCI DSS AWS Users Consortium Japan(略称:PCI DSS AUC Japan)」を発足すると発表した。
琉球銀行は「UnionPayカード決済」の加盟店申請受付を開始
ユーザー企業としてコンソーシアム参画
PCI DSSは、クレジットカード等のデータを安全に取り扱うことを目的とした基準だ。決済セキュリティの強化に向けて優れた基準だが、バージョンアップが不定期に行われ、2022年3月頃には10年ぶりの大規模な改定となる新バージョンの4.0が発表となる予定だ。また、PCI SSCのQ&Aにより要件の解釈が変わることもあり、実装方法や効率的な運用に向けて、ユーザー企業が単独で情報収集するのは労力が伴う。さらに、国内でもAWSを利用する企業は増えているが、PCI DSSやその準拠のための関連情報は、英文によるものが多いとした。
今回、琉球銀行がAWS上にPCI DSS準拠のシステムを構築した体験を元に、構築に関係した企業などが中心となり、AWS及びPCI DSSのユーザーに技術情報の発信、セミナーやイベントの開催、ベストプラクティスを初回するコンソーシアムを設立した。PCI DSSを中心としたキャッシュレス決済のセキュリティ構築や運用について、AWSの利用を前提に、グローバルトレンドから最新の導入、運用事例などの知見を集め、情報発信を行うことで、ユーザーを支援していく。
PCI DSS とAWSに関連する技術情報について、会員企業の質問に幹事会社のナレッジやベストプラクティスに基づき回答を作成し、同コンソーシアムが FAQ として公開する。会員企業は FAQ にアクセスし、該当するものがない場合は FAQ への公開を前提に質問できるという。
琉球銀行は、UnionPay(銀聯)のプリンシパルメンバーライセンスを銀行本体で取得し、日本の地方銀行として初めて「UnionPayカード決済」の加盟店申請受付を開始している。そのシステム構築の中で、サーバーワークス等の協力を得て、AWS上でのPCI DSS準拠を果たした。琉球銀行 頭取 川上 康氏は「コンソーシアムとしてのユーザー部門、地銀で早くからキャッシュレス事業を展開してきた立場でアクワイアリング(加盟店管理)、PCI DSSに関する情報を発信していきたいです」と話す。
改正割販法の1号~7号事業者が対象
初年度30社ほどの参加を見込む
サーバーワークスは、AWSのコンサルティングパートナーの最上位である APN プレミアコンサルティングパートナーに2014年から7年連続で選定されている。コンソーシアムではPCI DSS選定のAWS各種サービス活用のとりまとめと事務局を担う。
GRCSはPCI DSSのQSA、および企業のコンプライアンスやリスクを守る視点で有益な情報を提供していくという。
リンクは、PCI DSS 準拠に向けたクラウドサービス 「PCI DSS Ready Cloud AWSモデル」や 「BIZTEL コールセンター PCI DSS」 を自社サービスとして展開している。それまで、オンプレミスでのPCI DSS準拠が主流の中、AWSによるサービスを350社に提供しているそうだ。コンソーシアムでは、AWSを活用したPCI DSS最新事例、ホワイトペーパーの公開を予定している。
fjコンサルティングは、合計で約100社のカード会社、決済代行、カード加盟店、EC事業者にコンサルティングを提供した実績があるが、コンソーシアムでは、ユーザー企業からのPCI DSSに関するFAQの回答やセミナーやイベントの講師を担う。
コンソーシアムでは、2021年改正割賦販売法で定義される1号~7号事業者に該当するカード発行会社(イシュア)、カード加盟店(インターネットなど非対面または対面加盟店)、アクワイアラ、決済代行事業者、ECモールサービス、コード決済事業者、コード決済事業者から委託を受ける事業者、ECプラットフォームサービスなどの入会を目指す。まずは初年度30社ほどの参加を見込む。
