ニフティと富士通CSLのPCI DSS準拠の取り組み、委託先のPCI DSS準拠のポイント(上)

2017年7月26日7:00

■ニフティ/富士通コミュニケーションサービス

PCI DSSの基準では、外部委託先がPCI DSSに準拠することの責任を委託元が負うことになります。大手インターネット・サービス・プロバイダーのニフティでは、2010年からPCI DSSに準拠されています。また、富士通コミュニケーションサービス(富士通CSL)では、ニフティの要請を受け2015年7月に「北九州サポートセンターにおける通信サービス決済方法登録業務」において認証を取得されました。今回は、ニフティ IT企画室 セキュリティ品質推進部 担当部長 伊藤求氏と、富士通コミュニケーションサービス コーポレートサービス本部 情報管理推進室 小野眞之介氏に、それぞれのPCI DSSへの準拠の経緯、継続的なセキュリティ対応、委託先管理体制のポイント等について、紹介いただきました。

ニフティと富士通CSLの業務内容

伊藤:ニフティは、ISP(インターネット・サービス・プロバイダー)事業、ウェブサービス事業、クラウド事業の3つを展開しています(2017年3月当時)。法人向けにはISPの接続サービス、個人向けにはクラウドでサービスを展開します。他にオルタナ系ポータルサイト「デイリーポータルZ」や「東京カルチャーカルチャー」というイベントホールを展開しています。

ニフティ IT企画室 セキュリティ品質推進部 担当部長 伊藤求氏

小野:富士通コミュニケーションサービスは、「コンタクトセンター」および「ITサポート」のアウトソーシングサービスを中心に行っています。1994年にコーポレイトソフトウェアとして設立され、マイクロソフト、ニフティのISPサポートなどを開始しました。その後、2006年に富士通コミュニケーションサービスに社名変更して現在に至ります。札幌から九州まで全11拠点でサービスを行っており、BCP(事業継続計画)に対応しています。自社拠点以外のお客様先にも常駐しており、コンタクトセンター、セールマーケティング、バックオフィス、ITアウトソーシングを実施しています。

ニフティのPCI DSS準拠、リスク再評価による非保持化

伊藤:ニフティのPCI DSS準拠のきっかけは、Visa(ビザ・ワールドワイド)がLevel1加盟店に対して 2010年9月30日までにPCI DSS 完全準拠を求めたからです。弊社では、多数のISP会員がおり、社内の多くのシステムにクレジットカードを有していました。また、ISMSを取得していましたが、コンサルタントの方からクレジットカード番号を暗号化した方がいいという話をいただき、社内全体のセキュリティの向上を目指す中でPCI DSSに完全準拠するプロジェクトが進みました。

準拠に向けては、2009年9月にプロジェクトがスタートし、2010年9月の期限に間に合うように、2010年8月に完全準拠(PCI DSS Version1.2)しました。2011年8月には、富士通CSLに委託している部分として、サポートセンター業務まで拡大して準拠しています。

クレジット関連業務のアウトソース

ISP入会処理業務として、入会申し込み用紙などはクレジットカード番号等を扱いますが、そこを富士通CSLに委託して、PCI DSSのスコープに組み込んで完全準拠しました。ただし、弊社のシステムは大規模なため、運用コストが高いという課題がありました。そのため、大規模なシステムによる運用コスト増大、決済代行サービスの普及によるコスト減などを踏まえ、社内でクレジットカード情報を保持するリスクの再評価を実施しました。たとえば、社内で保持しているクレジットカード情報の件数から、何件漏えいするとどのくらいの被害額になるかなどです。

その再評価から、2014年4月にカード情報の保存等を、決済処理事業者のソニーペイメントサービスに委託しました。これにより、PCI DSSのスコープの範囲はISP入会業務のみに大幅縮小しました。また、ISP入会業務を社内に巻き取り、富士通CSLは弊社のPCI DSS範囲外となりました。

その一方で、弊社のMVNOサービス「NifMo(MVNO)」を開始するに当たり、入会処理でクレジットカード情報を扱いますので、富士通CSLに「カード番号保存」と「入会処理業務」をアウトソースし、社内運用を軽減しながらPCI DSSによるセキュリティを継続しました。

クレジットカード関連業務のアウトソースとPCI DSS

ニフティのPCI DSS準拠と委託先の富士通CSLの取り組み

小野:具体的な業務委託関係としては、ニフティが委託元で、弊社が委託先となります。富士通CSLの登録センターでは、サービスを新規契約したお客様から郵送されるクレジットカード決済用紙の登録処理を行っています。郵送された手続きの中にはカード情報が記載されており、弊社では内容を確認し、登録を確認して、ソニーペイメントサービスのデータベースで入力します。

ニフティでは2010年にPCI DSSに準拠され、弊社でもPCI DSS に沿った運用を開始。2014年にニフティからの要請を受け、弊社ではPCI DSS 準拠に向けた準備に着手し、2015年には、PCI DSS Version3.0に準拠しました。

ここでのポイントとしては、ニフティから委託を受けていた2011年は、要件7、9、12 と、委託業務の範囲に限定されており、対応すべき要件の精査に苦慮することはありませんでした。

具体的な例として、ニフティ側でカード情報を保持していた時の業務端末はシンクライアントで、かつネットワーク上のカード会員データは非保持であり、富士通CSL施設内における論理アクセスコントロールの運用管理、物理アクセス制限の構築などが主な対応となりました。つまり、入退出の運用ルールを見直したり、PCI DSSに関しての作業エリア・サーバルーム入退室の運用整備、鍵運用の整備、監視カメラの整備を行っています。また、アクセス権に関しては有資格者リストが現場に紐付きますので、対応が必要です。さらに、情報セキュリティポリシーの見直しが求められます。そのほか、カード会員情報が記載された紙媒体の取扱い運用(保管、廃棄)の再確認、教育(12.6 セキュリティ意識向上プログラム)の整備が必要でした。

▶▶後編へ続く

※本記事は2017年3月22日に開催された「ペイメントカード・セキュリティフォーラム2017」のニフティ株式会社 IT企画室 セキュリティ品質推進部 担当部長 伊藤求氏と、富士通コミュニケーションサービス株式会社 コーポレートサービス本部 情報管理推進室 小野眞之介氏のパネルセッションをベースに加筆を加え、紹介しています。

関連記事

ペイメントニュース最新情報

国内最大級のクレジットカード情報データベース(アイティーナビ)

モバイル決済端末(mPOS/SmartPOS)やQRコードリーダーをOEM/ODMでご提供します。お客様に代わってセキュリティ認定も取得可能です。(飛天ジャパン)

ネットビジネスを始めた方が選ぶ「おすすめしたい」決済代行サービス部門No.1。クレジットカード決済が初めての方も切り替えの方も、事業者様のニーズに合わせて最適な決済方法をご提案します。(ゼウス)

Global Payment Technology Solutions(インコム・ジャパン)

シンクライアント型電子決済サービス(トランザクション・メディア・ネットワークス)

「ハウス電子マネー/ギフトカードサービス」のニュース、導入事例のご紹介(富士通Japan)

国内最大級の導入実績を誇る決済代行事業者(GMOペイメントゲートウェイ)

Spayd スマートフォン、タブレットがクレジット決済端末に!(ネットムーブ)

非対面業界唯一!!カード会社とダイレクト接続により、安心・安全・スピーディーで質の高い決済インフラサービスを提供。Eコマースの健全な発展に貢献する決済代行事業者(ソニーペイメントサービス)

PCI P2PE 認定国内実績 No.1!多様なチャネルに対応し決済の新たな未来を創 造します(ルミーズ)
QRコードを活用したパスワードレスの認証方式で不正アクセスを未然に防止 セキュリティ課題を解決する認証サービス「認証BANK QR Auth」(セイコーソリューションズ)
「法人カード調査部」法人カードのおすすめはこれだ!年会費無料・ポイント還元率・マイルなどタイプ別で厳選紹介(LITE)

ブランドプリペイド/デビット、クレジットの基幹プラットフォームを中心にご紹介、決済事業者様のデジタルトランスフォーメーションやFintechへの取り組みを強力にご支援します。(エクサ)

オリジナルデザインで作れる、Amazonギフト券(トリニティ)

チャージバック保証、不正検知・認証システムなどクレジットカード不正対策ソリューションを提供(アクル)

国内ICカードシェアNo.1(大日本印刷)

不正決済対策の本質と弊社のサービス提供スタンス(スクデット)

カードシステムシェア70%の実績「NET+1」、不正検知システム国内導入実績NO,1「ACEPlus」(インテリジェントウェイブ)

PAGE TOP