2016年8月23日8:00
「北九州サポートセンターにおける通信サービス決済方法登録業務」で認証を取得
富士通コミュニケーションサービス(以下、CSL)は、2015年6月に「北九州サポートセンターにおける通信サービス決済方法登録業務」において、「PCI DSS」の認証を取得した。同社ではインターネットサービスプロバイダ大手のニフティの業務を受託しており、同業務の範囲での完全準拠となった。
2010年からPCI DSSに沿った運用を実施
社内の理解を得て、2014年末から本格着手
CSLがPCI DSSの準拠を意識したのは2010年。CSLの 北九州サポートセンターでは、ニフティから問い合わせ時のコールセンター業務、申し込みや変更のデータ入力処理業務などを請け負っているが、当時、ニフティが国際ブランドのVisaが定めた「AIS(Account Information Security)」の遵守期限内に準拠する目的で協力を求められた。
「今後、CSLの業務にとっても重要な基準になると感じ、当社名義で認証取得できないかを模索しましたが、当時はPCI DSSの認知度はそれほど高くなく、理解が得られませんでした。ただ、ニフティ様が準拠されるタイミングで、現場の運用はPCI DSSに沿うように、設備やネットワークの構成は作り直しました」(営業本部 第一営業統括部 統括部長 小林優子氏)
その後も現場レベルではPCI DSSに沿った運用を続けていたが、改めてニフティからのCSL名義での準拠の要請を受け、2014年11月から本格的に準備を開始。小林氏は、「2010年当時よりもPCI DSSの認知度は高まり、金融系のお客様も抱えていたため、社内の協力を得ることができました」と説明する。
準拠に向けては、「当時からPCI DSSに沿った運用が行われていたため、2015年6月の準拠の際は基盤ができていました」と、情報管理推進室 室長 坂巻到氏は語る。基本的には、ニフティから受託している業務をCSLがアウトソーサーとして直接準拠する形となった。オペレーションについては、PCI DSSの基準に合わせたものとして、より厳格な対応が求められ、セキュリティポリシーも見直したという。
ログの管理など、システム面などの対応が増加
3つの部門が協力して準拠を目指す
CSLでは、コンサルティング会社の協力を得て、準拠に取り掛かったが、スコープの特定に関してはニフティ名義で準拠した当時とそれほど変わりはなかったそうだ。ただ、「2010年当時はニフティから提供を受けていたシンクライアント端末を利用していましたが、今回は社内での独自ネットワーク環境になりましたので、ログの管理など、システム面での対応は増えました」と坂巻氏は話す。
実務での業務フローはそれほど変わらなかったが、その環境を支えるインフラ面やバックログが増えたという実感がある。
「PCI DSSの取得に向けては、運用部門、システム部門、情報管理推進部門の3つの部門で連携して進め、各部門のとりまとめ機能として事務局を設置しました。それぞれの部門が協力的であり、その点はコンサルティング会社にもご評価いただきました」(小林氏)
※「不正利用対策・PCI DSSガイドブック」から一部抜粋
