りらいあコミュニケーションズ、業務受託先からのコールセンター業務用ネットワークでPCI DSSに準拠

2016年8月24日8:00

スコープの設定に向け、委託元との責任分解書を作成し準拠を達成

りらいあコミュニケーションズは、2016年2月、PCI DSS Version3.1の認証を取得した。認証範囲は、業務委託先にかかわるコールセンター業務用ネットワークとなっている。同社では、カード決済は保持していないが、伝送を行っているため、PCI DSSの準拠が求められた。

グローバルのサービスプロバイダから業務を受託
カード決済は非保持だが、伝送部分で準拠が必要に

りらいあコミュニケーションズは、1987年設立の大手BPO(Business Process Outsourcing)サービス会社。全国に30カ所以上のオペレーションセンターを配置し、グループ全体で2万人を超えるスタッフがコールセンター、バックオフィス、対面営業支援、Webマーケティングなどの顧客接点周辺のBPOサービスに従事、通信、放送、金融、公益など国内主要企業向けにサービスを提供している。

relia

同社では、業務委託先から2016年2月までのPCI DSS準拠が契約事項の必須項目となるという話を受け、準拠への対応を開始した。業務委託元はグローバルのサービスプロバイダであり、ソフトウェアメーカー企業である。委託元は、ネットショップを運営しており、電話窓口はりらいあコミュニケーションズが受託しているため、PCI DSSの準拠が求められた。

りらいあコミュニケーションズ ITサービス本部 ITサービス事業部 第二サービス室長 濱根暁氏は、「お客様はグローバルベンダーになりますが、PCI DSSに関してはそれぞれの国では対応されていると伺っています。お客様とは電話、チャット、一部でメールでの業務を請け負っていますが、メールとチャットについてはクレジットカード番号の取り扱いを禁止しているため、電話に限りクレジットカード情報を取り扱っています」と説明する。

従来はクレジットカードの処理は行っていたが、自社ではメモを禁止しており、また社内上は発注側のシステムにもクレジットカード番号は残らない。さらに、コールセンターの対応時にもカード情報にかかわる部分は録音を禁止している。そのため、「保持している件数はゼロでしたが、PCI DSSの審査が求められました」と濱根氏は話す。

PCI DSSの審査対象となったのは、クレジットカード業務にかかわる“伝送”部分となる。オペレーターが耳で聞き取り、委託元の業務アプリケーションにインプットする作業を実施。その際に、同社のネットワーク機器を通過し、委託元のデータベースを通過するため、伝送が対象項目となった。

対応当初は、準拠は絶望的な感触を受ける
委託元の業務を切り離す目的で責任分解書を作成

準拠への対応にあたり、2015年8月から準備を開始。同社ではすでにプライバシー・マークやISMSの取得経験があったが、「PCI DSSの要件をみて、最初は絶望的でした」と、りらいあコミュニケーションズ システム・設備本部 システム・設備部 システム企画開発室 金村芳幸氏は打ち明ける。実際、コンサルティングを担当した富士通エフ・アイ・ピーからは、「フィット&ギャップの際に『2月は間に合いませんね』と言われました」と苦笑する。

「私自身がプライバシー・マークとISMSの両審査の取得と運用の経験がありましたが、PCI DSSはそれらの審査とは比較にならない量とレベルを求めてきましたので、2016年2月までできるか不安でした」(金村氏)

まずは、どのチームがどういう問い合わせ内容でクレジットカード情報を受け取るかというオペレーション内容の確認からスタート。スコープの設定では、仮にクレジットカード情報を扱わない業務でも、当該業務と同一のネットワーク上にあればPCI DSSの対象となる。また、他の業務と部屋が分離されているわけではなかったので、スコープの設定で苦労したそうだ。

「すべての業務を弊社が行っているわけではなく、業務アプリケーションや電話システムも委託元なので、最初のうちは除外だと簡単に括っていましたが、完全にスコープから外すことができないとわかりました。そのため、委託元と弊社の責任分解書のような念書を作成し、委託元と合意するプロセスを踏んでスコープの範囲を決めました」(金村氏)

「不正利用対策・PCI DSSガイドブック」から一部抜粋

関連記事

ペイメントニュース最新情報

国内最大級のクレジットカード情報データベース(アイティーナビ)

国内最大級の導入実績を誇る決済代行事業者(GMOペイメントゲートウェイ)

チャージバック保証、不正検知・認証システムなどクレジットカード不正対策ソリューションを提供(アクル)

設立25年以上の実績を誇る決済サービスプロバイダ。クレジットカード決済をはじめ、対面・非対面問わず豊富な決済手段を取り揃え、ニーズに合わせて最適な決済方法をご提案します。(ゼウス)

モバイル決済端末 (mPOS/SmartPOS) やQRコードリーダーをOEM/ODMでご提供します。お客様に代わってセキュリティ認定も取得可能です。(飛天ジャパン)

PayBやWeChatPay/Alipay等のスマートフォン決済、 リアルタイム口座振替、信頼性の高い収納代行、送金など、 様々な決済ソリューションを提供(ビリングシステム)

SaAT ポケレジ スマートフォン、タブレットがクレジット決済端末に!(ネットムーブ)

「Alipay」「WeChat Pay」中国最大規模のオンライン決済サービス(トリニティ)

ブランドプリペイド/デビット、クレジットの基幹プラットフォームを中心にご紹介、決済事業者様のデジタルトランスフォーメーションやFintechへの取り組みを強力にご支援します。(エクサ)

国内ICカードシェアNo.1(大日本印刷)

シンクライアント型電子決済サービス(トランザクション・メディア・ネットワークス)

「ハウス電子マネー/ギフトカードサービス」のニュース、導入事例のご紹介(富士通FIP)

決済情報コラムを好評連載中!「コンビニ収納ペーパーレス決済(番号方式)のわずかな、でも大事な違い」(NTTインターネット)

非対面業界唯一!!カード会社とダイレクト接続により、安心・安全・スピーディーで質の高い決済インフラサービスを提供。Eコマースの健全な発展に貢献する決済代行事業者(ソニーペイメントサービス)

クレジット・デビットカード、銀聯カード、ギフトカード、リアルタイム口座振替、ペイジーなどの様々なサービスに関するソリューションをご提供(富士通)

シンクライアント決済ソリューション「Thinc-CORE(シンクコア)」 EMVレベル2認証取得でICクレジットカード対応を実現(セイコーソリューションズ)

不正決済対策の本質と弊社のサービス提供スタンス(スクデット)

世界最大のギフト・プリペイドサービス事業者(インコム・ジャパン)

全国180社以上の導入実績を誇る「CARD CREW PLUS」(ジィ・シィ企画)

カードシステムシェア70%の実績「NET+1」、不正検知システム国内導入実績NO,1「ACEPlus」(インテリジェントウェイブ)

PAGE TOP