りらいあコミュニケーションズ、業務受託先からのコールセンター業務用ネットワークでPCI DSSに準拠

2016年8月24日8:00

スコープの設定に向け、委託元との責任分解書を作成し準拠を達成

りらいあコミュニケーションズは、2016年2月、PCI DSS Version3.1の認証を取得した。認証範囲は、業務委託先にかかわるコールセンター業務用ネットワークとなっている。同社では、カード決済は保持していないが、伝送を行っているため、PCI DSSの準拠が求められた。

グローバルのサービスプロバイダから業務を受託
カード決済は非保持だが、伝送部分で準拠が必要に

りらいあコミュニケーションズは、1987年設立の大手BPO(Business Process Outsourcing)サービス会社。全国に30カ所以上のオペレーションセンターを配置し、グループ全体で2万人を超えるスタッフがコールセンター、バックオフィス、対面営業支援、Webマーケティングなどの顧客接点周辺のBPOサービスに従事、通信、放送、金融、公益など国内主要企業向けにサービスを提供している。

relia

同社では、業務委託先から2016年2月までのPCI DSS準拠が契約事項の必須項目となるという話を受け、準拠への対応を開始した。業務委託元はグローバルのサービスプロバイダであり、ソフトウェアメーカー企業である。委託元は、ネットショップを運営しており、電話窓口はりらいあコミュニケーションズが受託しているため、PCI DSSの準拠が求められた。

りらいあコミュニケーションズ ITサービス本部 ITサービス事業部 第二サービス室長 濱根暁氏は、「お客様はグローバルベンダーになりますが、PCI DSSに関してはそれぞれの国では対応されていると伺っています。お客様とは電話、チャット、一部でメールでの業務を請け負っていますが、メールとチャットについてはクレジットカード番号の取り扱いを禁止しているため、電話に限りクレジットカード情報を取り扱っています」と説明する。

従来はクレジットカードの処理は行っていたが、自社ではメモを禁止しており、また社内上は発注側のシステムにもクレジットカード番号は残らない。さらに、コールセンターの対応時にもカード情報にかかわる部分は録音を禁止している。そのため、「保持している件数はゼロでしたが、PCI DSSの審査が求められました」と濱根氏は話す。

PCI DSSの審査対象となったのは、クレジットカード業務にかかわる“伝送”部分となる。オペレーターが耳で聞き取り、委託元の業務アプリケーションにインプットする作業を実施。その際に、同社のネットワーク機器を通過し、委託元のデータベースを通過するため、伝送が対象項目となった。

対応当初は、準拠は絶望的な感触を受ける
委託元の業務を切り離す目的で責任分解書を作成

準拠への対応にあたり、2015年8月から準備を開始。同社ではすでにプライバシー・マークやISMSの取得経験があったが、「PCI DSSの要件をみて、最初は絶望的でした」と、りらいあコミュニケーションズ システム・設備本部 システム・設備部 システム企画開発室 金村芳幸氏は打ち明ける。実際、コンサルティングを担当した富士通エフ・アイ・ピーからは、「フィット&ギャップの際に『2月は間に合いませんね』と言われました」と苦笑する。

「私自身がプライバシー・マークとISMSの両審査の取得と運用の経験がありましたが、PCI DSSはそれらの審査とは比較にならない量とレベルを求めてきましたので、2016年2月までできるか不安でした」(金村氏)

まずは、どのチームがどういう問い合わせ内容でクレジットカード情報を受け取るかというオペレーション内容の確認からスタート。スコープの設定では、仮にクレジットカード情報を扱わない業務でも、当該業務と同一のネットワーク上にあればPCI DSSの対象となる。また、他の業務と部屋が分離されているわけではなかったので、スコープの設定で苦労したそうだ。

「すべての業務を弊社が行っているわけではなく、業務アプリケーションや電話システムも委託元なので、最初のうちは除外だと簡単に括っていましたが、完全にスコープから外すことができないとわかりました。そのため、委託元と弊社の責任分解書のような念書を作成し、委託元と合意するプロセスを踏んでスコープの範囲を決めました」(金村氏)

「不正利用対策・PCI DSSガイドブック」から一部抜粋

関連記事

ペイメントニュース最新情報

EMVCoや国際カードブランドから認定を受けた試験機関(テュフズードジャパン)

国内最大級のクレジットカード情報データベース(アイティーナビ)

モバイル決済端末(mPOS/SmartPOS)やQRコードリーダーをOEM/ODMでご提供します。お客様に代わってセキュリティ認定も取得可能です。(飛天ジャパン)

ネットビジネスを始めた方が選ぶ「おすすめしたい」決済代行サービス部門No.1。クレジットカード決済が初めての方も切り替えの方も、事業者様のニーズに合わせて最適な決済方法をご提案します。(ゼウス)

Global Payment Technology Solutions(インコム・ジャパン)

シンクライアント型電子決済サービス(トランザクション・メディア・ネットワークス)

「ハウス電子マネー/ギフトカードサービス」のニュース、導入事例のご紹介(富士通Japan)

国内最大級の導入実績を誇る決済代行事業者(GMOペイメントゲートウェイ)

Spayd スマートフォン、タブレットがクレジット決済端末に!(ネットムーブ)

非対面業界唯一!!カード会社とダイレクト接続により、安心・安全・スピーディーで質の高い決済インフラサービスを提供。Eコマースの健全な発展に貢献する決済代行事業者(ソニーペイメントサービス)

PCI P2PE 認定国内実績 No.1!多様なチャネルに対応し決済の新たな未来を創 造します(ルミーズ)
QRコードを活用したパスワードレスの認証方式で不正アクセスを未然に防止 セキュリティ課題を解決する認証サービス「認証BANK QR Auth」(セイコーソリューションズ)
「法人カード調査部」法人カードのおすすめはこれだ!年会費無料・ポイント還元率・マイルなどタイプ別で厳選紹介(LITE)

ブランドプリペイド/デビット、クレジットの基幹プラットフォームを中心にご紹介、決済事業者様のデジタルトランスフォーメーションやFintechへの取り組みを強力にご支援します。(エクサ)

オリジナルデザインで作れる、Amazonギフト券(トリニティ)

チャージバック保証、不正検知・認証システムなどクレジットカード不正対策ソリューションを提供(アクル)

国内ICカードシェアNo.1(大日本印刷)

不正決済対策の本質と弊社のサービス提供スタンス(スクデット)

カードシステムシェア70%の実績「NET+1」、不正検知システム国内導入実績NO,1「ACEPlus」(インテリジェントウェイブ)

PAGE TOP