2018年8月24日6:50
セキュアな環境でカード情報非保持化を支援
トッパンフォームズは、BPO拠点である日野センター(東京都日野市)内に2018年7月PCI DSSに完全準拠の専用エリアを構築する。これにより、クレジットカード番号が記載された帳票(原票)からのデータ入力・電子化などの一連の処理が可能になる。
カード情報に関わる処理を集約
センター内にPCI DSS対応業務専用室を設置
日野センターは、都市型のBPOセンターとしてDPS事業の前工程および後工程である書類の受付、審査、データエントリーなどの作業や、返信物のスキャニング、アウトバウンドコール業務などを請け負うBPO事業の拠点となる。
同社では、従来からカード会社、通販会社、収納代行事業者などの支援を行っており、クレジットカードの入会申し込み、クレジットカードの口座振替の入力作業など、セキュリティが求められる業務の運用は実施していた。
トッパンフォームズ BPO統括本部 事業推進本部 販促部長 樋口千秋氏は、「お客様から、実行計画によって非保持化もしくはPCI DSS準拠が必要になり、対応するためには運用方法の見直しや運用システムを構築する費用負担、セキュリティ対策環境の構築など、ハードルが非常に高いという声をいただきました。また、複数の企業から非保持化に向けたサービス提供の要望を受けたため、BPOサービスとしてMO・TO(メールオーダー・テレフォンオーダー)業務に対応したセンターの環境構築を行うことになりました」と説明する。
同社では、2016年からPCI DSS準拠のセンター構築に向けた準備を開始し、2017年2月から環境の構築に着手している。また、具体的な対応に向け、コンサルティングの協力を得た。日野センターでは、多岐にわたる業務を行っているが、センター内にPCI DSS対応業務専用エリアを設けることとなった。
「既存のネットワーク環境とつながっている環境の場合、膨大な費用がかかりますので、PCI DSS対応業務では、スコープを明確にするため、既存のシステム環境と切り分ける運用を選択しました」(同販促グループ主任 佐藤幸夫氏)
新たに構築した専用エリアに、紙やFAXからのエントリーなど、クレジットカード番号が記載された業務をすべて集約する。同統括本部 運用本部 システム開発グループ 担当部長 神山靖氏は、「原票確認、スキャニング、データ入力、クレジットカードのオーソリやコンタクト業務など、弊社で受託している業務の中で、カード情報を取り扱う業務を想定して、環境を構築しました」と話す。
スムーズな準拠に向け、PCI DSSに準拠したクラウドサービスを採用した。理由としてPCI DSSに準拠した環境を自社で構築する費用よりも安価だったこと、また短期間での構築が可能等を踏まえて採用に至った。外部との接続は、案件の決定後、利用企業向けのセグメントを作って、構築していくそうだ。
代替コントロールは2つの点で適用/シュレッダー室もPCI DSSのスコープに
既存の取引先をPCI DSSに準拠した環境へ移行/大手企業を中心に100社の新規採用を目指す
(書籍「カード決済セキュリティ PCI DSSガイドブック」よりトッパンフォームズの記事の一部を紹介)
