2018年8月21日8:10
クレジットカード情報の処理を自動化して高度なセキュリティを確保
電話放送局はIVR(自動音声応答)分野で40年にわたる経験を有し、電話認証、オートコール、自動受付、CS(顧客満足度)調査、IVR決済、SMS送信などさまざまなサービスをクラウド上で展開している。同社では、IVRサービスを提供する独立系企業としていち早くPCI DSSに準拠し、改正割賦販売法や実行計画への対応が早急に求められる通販事業者等のテレフォンオーダー加盟店に対し、セキュアな仕組みを提供している。
実行計画以前からセキュアな仕組みを提供
主要な決済処理事業者と連携
電話放送局は、IVRサービスとして業界最大規模の5,000回線以上の設備を保有する企業だ。同社では、コールセンターでの電話注文受付時に、クレジットカード支払いを希望する人に対してオペレーターがIVRに通話を転送し、音声ガイダンスに沿って利用者がクレジットカード番号、有効期限、セキュリティコードなどの情報を入力することで支払い手続きが完了するサービスを他社に先駆けて展開してきた。すでに、GMOペイメントゲートウェイ、ヤマトフィナンシャル、ソフトバンク・ペイメント・サービス、ゼウスといった主要な決済処理事業者との接続実績がある。また、通話転送時にワンタイムパスワードを入力させることで、単独の電話番号で複数のオペレーターからの転送を受け付ける仕組みを特許技術として提供している。
PCI DSS準拠に至った背景として、クレジット取引セキュリティ対策協議会の実行計画において、サービスプロバイダは2018年3月までにPCI DSS準拠が求められたことが挙げられる。また、同社では実行計画が発表される以前からセキュアな運用を意識していたが、「お客様になり得る加盟店での非保持化対応、もしくはPCI DSS準拠に向けたお手伝いができると考え、自社での準拠を決意しました」と電話放送局 企画室 室長 山根友彬氏は話す。
電話放送局では、2016年8月から準拠に向けた準備を開始。まずは、QSAが実施したPCI DSSの講習を受け、PCI DSSの要件と自社での対応を照らし合わせるギャップ分析を実施した。電話放送局 取締役 CTO黒木裕貴氏は、「最初に迷ったのは、どのスコープで準拠するかというセグメンテーションの部分です。IVRは古くから提供していますが、現行のシステムのまま対応するのはハードルが高かったため、準拠するサービスを新設しました」と説明する。QSAが実施したトレーニングも実際に同社スタッフのみのマンツーマンとなり、不明な点に関して、突っ込んで解説してもらった。
黒木氏は、「QSAからは、弊社が過大解釈している部分について、指摘していただきました。また、1人で要件を解釈すると、主観が入ってしまいますので、QSAからの説明を複数名で聞いて、各要件を付き合わせてチェックしています」と語る。
PCI DSSに準拠したサービスを新設/代替コントロールは要件11.1で1カ所適用
PCI DSS準拠で社員の意識付けがより高まる/2018年度内で100社への新規導入を目指す
(書籍「カード決済セキュリティ PCI DSSガイドブック」より電話放送局の記事の一部を紹介)
