ニフティと富士通CSLのPCI DSS準拠の取り組み、委託先のPCI DSS準拠のポイント(上)

2017年7月26日7:00

■ニフティ/富士通コミュニケーションサービス

PCI DSSの基準では、外部委託先がPCI DSSに準拠することの責任を委託元が負うことになります。大手インターネット・サービス・プロバイダーのニフティでは、2010年からPCI DSSに準拠されています。また、富士通コミュニケーションサービス(富士通CSL)では、ニフティの要請を受け2015年7月に「北九州サポートセンターにおける通信サービス決済方法登録業務」において認証を取得されました。今回は、ニフティ IT企画室 セキュリティ品質推進部 担当部長 伊藤求氏と、富士通コミュニケーションサービス コーポレートサービス本部 情報管理推進室 小野眞之介氏に、それぞれのPCI DSSへの準拠の経緯、継続的なセキュリティ対応、委託先管理体制のポイント等について、紹介いただきました。

ニフティと富士通CSLの業務内容

伊藤:ニフティは、ISP(インターネット・サービス・プロバイダー)事業、ウェブサービス事業、クラウド事業の3つを展開しています(2017年3月当時)。法人向けにはISPの接続サービス、個人向けにはクラウドでサービスを展開します。他にオルタナ系ポータルサイト「デイリーポータルZ」や「東京カルチャーカルチャー」というイベントホールを展開しています。

ニフティ IT企画室 セキュリティ品質推進部 担当部長 伊藤求氏

小野:富士通コミュニケーションサービスは、「コンタクトセンター」および「ITサポート」のアウトソーシングサービスを中心に行っています。1994年にコーポレイトソフトウェアとして設立され、マイクロソフト、ニフティのISPサポートなどを開始しました。その後、2006年に富士通コミュニケーションサービスに社名変更して現在に至ります。札幌から九州まで全11拠点でサービスを行っており、BCP(事業継続計画)に対応しています。自社拠点以外のお客様先にも常駐しており、コンタクトセンター、セールマーケティング、バックオフィス、ITアウトソーシングを実施しています。

ニフティのPCI DSS準拠、リスク再評価による非保持化

伊藤:ニフティのPCI DSS準拠のきっかけは、Visa(ビザ・ワールドワイド)がLevel1加盟店に対して 2010年9月30日までにPCI DSS 完全準拠を求めたからです。弊社では、多数のISP会員がおり、社内の多くのシステムにクレジットカードを有していました。また、ISMSを取得していましたが、コンサルタントの方からクレジットカード番号を暗号化した方がいいという話をいただき、社内全体のセキュリティの向上を目指す中でPCI DSSに完全準拠するプロジェクトが進みました。

準拠に向けては、2009年9月にプロジェクトがスタートし、2010年9月の期限に間に合うように、2010年8月に完全準拠(PCI DSS Version1.2)しました。2011年8月には、富士通CSLに委託している部分として、サポートセンター業務まで拡大して準拠しています。

クレジット関連業務のアウトソース

ISP入会処理業務として、入会申し込み用紙などはクレジットカード番号等を扱いますが、そこを富士通CSLに委託して、PCI DSSのスコープに組み込んで完全準拠しました。ただし、弊社のシステムは大規模なため、運用コストが高いという課題がありました。そのため、大規模なシステムによる運用コスト増大、決済代行サービスの普及によるコスト減などを踏まえ、社内でクレジットカード情報を保持するリスクの再評価を実施しました。たとえば、社内で保持しているクレジットカード情報の件数から、何件漏えいするとどのくらいの被害額になるかなどです。

その再評価から、2014年4月にカード情報の保存等を、決済処理事業者のソニーペイメントサービスに委託しました。これにより、PCI DSSのスコープの範囲はISP入会業務のみに大幅縮小しました。また、ISP入会業務を社内に巻き取り、富士通CSLは弊社のPCI DSS範囲外となりました。

その一方で、弊社のMVNOサービス「NifMo(MVNO)」を開始するに当たり、入会処理でクレジットカード情報を扱いますので、富士通CSLに「カード番号保存」と「入会処理業務」をアウトソースし、社内運用を軽減しながらPCI DSSによるセキュリティを継続しました。

クレジットカード関連業務のアウトソースとPCI DSS

ニフティのPCI DSS準拠と委託先の富士通CSLの取り組み

小野:具体的な業務委託関係としては、ニフティが委託元で、弊社が委託先となります。富士通CSLの登録センターでは、サービスを新規契約したお客様から郵送されるクレジットカード決済用紙の登録処理を行っています。郵送された手続きの中にはカード情報が記載されており、弊社では内容を確認し、登録を確認して、ソニーペイメントサービスのデータベースで入力します。

ニフティでは2010年にPCI DSSに準拠され、弊社でもPCI DSS に沿った運用を開始。2014年にニフティからの要請を受け、弊社ではPCI DSS 準拠に向けた準備に着手し、2015年には、PCI DSS Version3.0に準拠しました。

ここでのポイントとしては、ニフティから委託を受けていた2011年は、要件7、9、12 と、委託業務の範囲に限定されており、対応すべき要件の精査に苦慮することはありませんでした。

具体的な例として、ニフティ側でカード情報を保持していた時の業務端末はシンクライアントで、かつネットワーク上のカード会員データは非保持であり、富士通CSL施設内における論理アクセスコントロールの運用管理、物理アクセス制限の構築などが主な対応となりました。つまり、入退出の運用ルールを見直したり、PCI DSSに関しての作業エリア・サーバルーム入退室の運用整備、鍵運用の整備、監視カメラの整備を行っています。また、アクセス権に関しては有資格者リストが現場に紐付きますので、対応が必要です。さらに、情報セキュリティポリシーの見直しが求められます。そのほか、カード会員情報が記載された紙媒体の取扱い運用(保管、廃棄)の再確認、教育(12.6 セキュリティ意識向上プログラム)の整備が必要でした。

▶▶後編へ続く

※本記事は2017年3月22日に開催された「ペイメントカード・セキュリティフォーラム2017」のニフティ株式会社 IT企画室 セキュリティ品質推進部 担当部長 伊藤求氏と、富士通コミュニケーションサービス株式会社 コーポレートサービス本部 情報管理推進室 小野眞之介氏のパネルセッションをベースに加筆を加え、紹介しています。

関連記事

ペイメントニュース最新情報

ポータブル決済端末、オールインワン決済端末、スマート決済端末、新しい決済端末3製品をリリースしました(飛天ジャパン)

国内最大級のクレジットカード情報データベース(アイティーナビ)

「お金の流れを、もっと円(まる)く」決済ゲートウェイ事業のパイオニアとして、強固なシステムでキャッシュレス決済を次のステップへと推進します。(ネットスターズ)

国内最大級の導入実績を誇る決済代行事業者(GMOペイメントゲートウェイ)

決済シーンにdelight(ワクワク感)を!PCI P2PE 認定国内実績 No.1の「確かな信頼」を提供します(ルミーズ)
電子マネー、クレジット、QR・バーコード、共通ポイントなど、多数のキャッシュレス決済サービスをワンストップで提供(トランザクション・メディア・ネットワークス)
決済領域を起点に多様なビジネスニーズに応える各種ソリューションを提供(インフキュリオン)
ReD ShieldやSift等の不正検知サービスを提供し、お客様の不正対策を支援(スクデット)
BtoCもBtoBも。クレジットカード決済を導入するならSBIグループのゼウスへ。豊富な実績と高セキュリティなシステムで貴社をサポートいたします。(ゼウス)
TOPPANの決済ソリューションをご紹介(TOPPANデジタル)
多様な業界のニーズに対応した、さまざまなキャッシュレス・決済関連サービスを提供する総合決済プロバイダー(DGフィナンシャルテクノロジー)
決済業務の完全自動化を実現する「Appian」とクレジット基幹プラットフォームを合わせてご紹介!(エクサ)
チャージバック保証、不正検知・認証システムなどクレジットカード不正対策ソリューションを提供(アクル)

非対面業界唯一!!カード会社とダイレクト接続により、安心・安全・スピーディーで質の高い決済インフラサービスを提供。Eコマースの健全な発展に貢献する決済代行事業者(ソニーペイメントサービス)

stera terminalでお店のポイントがつけられる「VALUE GATE」(トリニティ)

Spayd スマートフォン、タブレットがクレジット決済端末に!(ネットムーブ)

DNPキャッシュレス 決済プラットフォームをご紹介(大日本印刷)

PAGE TOP