2019年11月19日8:00
米国での経験を元にスムーズに準拠を果たす
日本通信は、無線専用線の主要システムすべてにおいて、「PCI DSS」に完全準拠し、QSA による審査を得て正式認定を取得した。
米国で先行して準拠した経験を元に、スムーズに準拠を果たした。同社のPCI DSS 準拠の経緯について、話を聞いた。
米国子会社では2008 年に準拠
日本ではMO・TO 加盟店にサービスを提案
日本通信は、MVNO 事業を行うパートナーに対して、モバイル通信サービスを提供している。また、IoT/M2M ソリューション、移動ATM 向け高稼働モバイルネットワーク、M2M 向けネットワーク構築コンサルティングなどを提供している。通信サービスを提供するうえでセキュリティは重要視されており、データを安心して届けるという意味において安全は必須事項となる。
日本に先駆け、米国では、MVNO ビジネスを展開する連結子会社であるCommunications Security and Compliance Technologies Inc.(現・Contour Networks Inc.:コントゥアー・ネットワークス)が2008 年にPCI DSS に準拠している。Contour Networks では、顧客企業がクレジットカードやデビットカード、ATM カードなどの情報を、暗号化せずともセキュアに送信するためにPCI DSSに準拠した。
日本でも以前からPCI DSS に準拠したサービスを提供する想定はあったが、具体化までは至らなかった。そうしたなか、割賦販売法の改定があり、クレジット取引セキュリティ対策協議会の実行計画でタブレットを使った外回り決済の方法が示された。
日本通信では、非対面クレジットカード決済に用いるクレジットカード情報の「非保持化対応タブレット・ソリューション」を、携帯電話ネットワークを用いて提供しており、クレジットカード決済を非対面で行うメールオーダー・テレフォンオーダー加盟店(MO・TO 加盟店)に提案している。
具体的には、セキュリティ基準を満たした専用タブレット端末と回線をワンストップで提供しており、MO・TO 加盟店は、従来カード情報を入力していたパソコン等を同専用タブレットに置き換えるだけで、受付オペレーションの大きな変更なく、クレジットカード情報の非保持化を実現可能だ。また、ソフトバンク回線またはドコモ回線の2 つの携帯電話網で使える「デュアルSIM 化サービス」を提供しており、大規模な通信障害時にも他方の回線のSIMに入れ替えることで、クレジットカード決済を行うことができる。
専用線のプライベートネットワークを使用構築を含め半年間で準拠を果たす
同社 執行役員 後藤堅一氏は、「PCI DSS は、安全にデータを運ぶための1つの通信経路として日本でも重要視されていくだろうと考えました」と話す。国内のPCI DSS 準拠は2016 年から検討し、2017 年に準備を開始した。準拠に向けては、米国子会社での経験者で長期出張から戻ってきた人員を中心に対応にあたった。
確認事項やドキュメントの整理などはあったが、「多くの人数をかける状況でもなかったですし、大きなネットワーク構築をしなければいけないというのはありませんでした」と後藤氏は話す。スコープについては、モバイルであっても専用線でネットワークに触れない、プライベートネットワークを使用している。それをベースに、スコープを切り出して、PCI DSS に準拠する環境を構築した。
主要な決済会社と連携してサービスを展開
金融情報、医療情報、個人情報などの機密情報保護でも有益に
※書籍「PCI DSS・カードセキュリティ・実行計画対策ガイド」より
