2012年1月19日8:00
6年連続でPCI DSSに準拠を果たし、Version2.0に対応
「認証アシストサービス」とともに加盟店に安心・安全なシステムを提供
スマートリンクネットワーク
決済代行事業者のスマートリンクネットワークは、同社が提供するクレジットカード決済代行サービス「e-SCOTT」において、国際ペイメントブランド5社が推奨するデータセキュリティ基準である「PCI DSS」に2006年から準拠している。同社では、2011年11月、PCI DSS Version2.0に準拠した。
訪問審査は、前回同様のQSA(認定セキュリティ評価機関)に依頼し、2011年10月の最終週に審査を受診。11月に準拠証明書(ROC)を取得した。スマートリンクネットワーク システム企画部門 システム企画部 システム企画課長 籠宮宏之氏は、「Version2.0に変更になったからといって、そのためにシステムを強化した部分はありませんでした」と話す。項目的には、Version1.2の約250から2.0は約280に増えたが、「細かい部分が中心だったため、苦労した部分はなかった」(籠宮氏)そうだ。むしろ、審査の項目が増えたため、似たような内容を質問されることが多かった。
ただ、前回までの審査では行った実績を文書で提出するだけで済んだが、Version2.0の審査からは、プロセスを文書化する作業が必要となったため、業務的な負荷は若干増したそうだ。
同社では現在、基幹システムの刷新を行っており、新たにシステムをつくり込んだため、セキュリティレベルはさらに高まっていると自信を見せる。代替コントロールに関しては、年々システムを強化しているため、適用する箇所は少なくなっている。例えば、要件10のログの集約に関しては、前回の審査時には代替コントロールを適用したが、新システムでは自社でシステムをつくり込み、オリジナル要件で対応している。
2012年の審査に向けては、要件6の脆弱性検査においてリスクランク付けのアプローチが必要になった。現在はベストプラティクスとなっているが、必須となる2012年の審査では、システム対応の負荷がかかる可能性がある。
スマートリンクの「e-SCOTT」では、独自の本人確認・認証サービス「認証アシストサービス」を実装しており、大手インターネット加盟店などで採用されている。セキュリティの高い認証サービスを売りにしていることもあり、自らのシステムに対して最善のセキュリティ対応を行い、安心・安全なカード決済システムの提供はもとより、不正利用の低減などに向けた決済サービス機能の充実を図っている。そのため、PCI DSSの対応も含め、自社のセキュリティレベルを保つため、日頃の社内の運用ルールも厳しく定められている。
「今後は社内のセキュリティレベルを保持しながら、業務の効率化を図れる運用方法も考えていきたい」と籠宮氏は話す。現在はPCI DSSなど、システム対応要員も限られるため、「可能な限り多くの担当者で、意識および知識レベルを共有する体制にしていきたい」(籠宮氏)という。また、PCI DSSのシステム担当者以外のセキュリティ意識についてもさらに高めていきたいとしている。
同社では、加盟店のセキュリティ意識を高めるために、「PCI DSSの準拠やカード情報の非保持化の推進、認証アシストサービスなどの本人認証強化を推進する動きを行っています」とスマートリンクネットワーク 経営企画部部長 荒巻和明氏は説明する。また、荒巻氏は、PCI SSCのPO企業が中心となって活動するPCI SSC PO Japan連絡会の運営委員にもなっている。同団体では、加盟店やサービスプロバイダなどが加盟しているが、会員も徐々に増えているという。
