2011年11月18日8:00
1.2から大幅な変更はほとんどなく、スムーズに完全準拠を達成
今後はペイメントカードを扱わないシステムでもPCI DSSを意識
アナザーレーンは、2010年にPCI DSS Version1.2の完全準拠を果たした。同社では2011年1月31日付けで、国内企業として初めてVersion2.0に準拠したが、「1.2の審査の際にいくつか持ち越しの課題はありましたが、2.0になったからといって特に大変になった部分はありませんでした」とアナザーレーン 取締役 システム開発部 部長 永塚昌平氏は説明する。
前回の審査からの改善点に関しては、ログや暗号鍵の管理など、費用面で代替コントロールを適用した部分があっため、ログ監視のソリューション導入などを行った。2011年の審査でも、数カ所代替コントロールを適用したが、「1.2から大幅な変更はほとんどなかったため、予備審査などを受けずに完全準拠を達成できました」とアナザーレーン システム開発部 マネージャー 鈴木尊志氏は成果を語る。
2011年は、仮想化の部分が具体的に要件に明記されたが、アナザーレーンのシステムでは仮想環境は使用していない。要件も若干増えたが、5~6項目程度だったため、特に対応に苦労した部分はなかったという。ただ、同社自身、PCI DSSへの準拠は2回目であったため、「社内においての日々の運用が大変でした」と鈴木氏は打ち明ける。
PCI DSSでは日々の運用に関しても具体的に明示されており、運用コストが準拠以前に比べアップした。また、人的な対応も必要となり、各担当者の業務にかかわる時間も増えた。
「決済代行事業者は弊社も含めて、売り上げが右肩に上がっているところが多いため、運用コストの負担に関しては問題ありませんが、固定費が増えているため、できるだけシステムでカバーできるように努めています」(永塚氏)
当初はウィルスソフトの導入やセキュリティパッチを当てる際にサーバ停止が発生するなどの懸念があったが、現状、特に大きな問題はないという。鈴木氏は、「セキュリティを維持、向上させる点でPCI DSSへの準拠は結果的によかったと考えています」と笑顔を見せる。
同社では2013年度以降にシステム変更を予定している。その際には、仮想化の部分も検討していく方針であり、当然、PCI DSSの基準に合わせたシステムを構築する予定だ。
同社をはじめ、主要な決済代行事業者はPCI DSSに準拠しており、「現状では、それほど差別化のポイントにはならない」と永塚氏は説明する。ただし、安心・安全な決済環境のアピールには役立っている。同社では加盟店に対し、カード会員情報を保持しない決済システムの提供を積極的にすすめる方針だ。
今後は、クレジットカードを扱わないシステムでも顧客情報やサーバ構成などはPCI DSSを考慮してシステムを構築していきたいとしている。また、事業継続マネジメントシステム「BCMS」の認証も受診する予定となっている。
