ソフトバンク・ペイメント・サービス株式会社(2009年更新審査)

2010年4月14日  21:23
 
2年続けてPCI DSS、ISMSの同時審査を実施
専門部署が対応にあたる体制を確立  
 
ソフトバンク・ペイメント・サービスは、2008年からPCI DSSとISMSの審査を同時に行っている。ゆくゆくはプライバシーマーク(Pマーク)との3種同時審査も考えているという同社は、「情報セキュリティ管理室」に各部署からの情報を集めるなど、通常業務に影響が出ないセキュリティ体制づくりにも取り組んでいる。  

同時審査のメリットは 

工数・日数の短縮とコスト減 

 ソフトバンク・ペイメント・サービスでは、PCI DSS Ver.1.1に引き続き、Ver.1.2でもISMSとの同時審査を行った。同時審査のきっかけは、同社の審査を担当するQSA(認定審査機関)からの提案だったというが、同社でも十分にそのメリットを感じている。 

取締役COO兼CISO 巣立和彦氏

 「最大のメリットは、やはり工数の短縮ですね。別々に行っていた時はそれぞれ4日ずつかけていましたから、単純計算いうと8日間になる計算です。それが、トータル4.5日間で済むので、それだけ本来の業務に支障をきたす恐れが少ないということがいえます。それに加えて、コストダウンという利点もあります。ゆくゆくは、Pマークとの3種同時審査も実現していただきたいと思っています」(情報セキュリティ管理室 室長・柳沢浩治氏) 

 同社では設立時からカード情報を保有することに対してのセキュリティ・ポリシーを確立し、徹底して管理を行ってきた。各種審査の基準の背景を理解した上であらかじめ環境を構築しているため、基準の変更部分には改修をする程度で済むという。さらに、同社ではセキュリティに関する専門部署があり、各種審査の際はその部署が対応を行っている。 

暗号化、データ監視などは

独自の対応方法のため、説明時に苦慮

柳沢氏によれば、PCI DSS Ver.1.2では、審査の範囲よりもむしろ、レギュレーションの基準が上がったという印象が強いという。 「例えば、より具体的になったのが、無線LANのアクセスポイントの証跡やログの保管期限の延長など。特に証跡については、そこまで求められるとは考えていなかった部分までかなり細かく審査されました」 

 また、同社のシステムが独自の対応方式を実装していたために苦慮した部分もいくつかある。 

 「例えば、要件3.5について。PCI DSS基準によれば暗号化キーがデータ暗号化キーとは別個に保存されていることになっていますが、弊社の場合、暗号化に独自のシステムを使用しているため、要件そのままを適用させることはできませんでした。また、10.5.5のファイル整合性監視または変更検出ソフトウェアを使用して、既存のログデータを変更すると警告が生成されるようにするという部分に関しては、弊社では以前から24時間365日体制で手動でのチェック体制を行っています。『ソフトウェアを使用して』という規定が厳密になるのであれば、今後、何らのソリューションを導入することも考えなくてはいけません」(柳沢氏) 

セキュリティ・ポリシーやノウハウの共有で 

自社、加盟店ともに安全な体制をつくる 

同社では今後、加盟店への啓蒙活動という意味もこめて、新しいアプローチを考えているという。   

sbps2
情報セキュリティ管理室 室長・柳沢浩治氏

「PCI DSSの認知度が高まるにあたり、関心を持たれる加盟店様も増えてきたようです。しかしPCI DSS対策という観点だけでいうと、コスト的にも人的作業としても割に合わないと懸念することも多いのが事実です。私たち自身も、審査のためということではなくセキュリティを高めるということを目的において、ポリシーやノウハウを共有していきたいと思っています。そうすることによって結果的には、弊社に決済代行を任せていただいている加盟店様、そこを利用されたお客様すべてが安全な状態になるという環境を目指しています」(取締役COO兼CISO 巣立和彦氏) 

また、今年の秋に発表される次期バージョン以降、審査を受ける加盟店が多くなることも見込まれるが、それに関しての準備も怠らない。 

巣立氏によれば、「加盟店様の審査にあたっては弊社の体制が問われる部分もでてきます。そのたびに問い合わせやデータ提出など、弊社の業務に影響が出るのは避けたいところです。必要なデータはあらかじめ配布しておくなど、監査を受ける仕組みづくりを弊社で整えていくことも考えています」とのこと。これまで以上に「情報セキュリティ管理室」の重要性が高まりそうだ。

関連記事

ペイメントニュース最新情報

国内最大級のクレジットカード情報データベース(アイティーナビ)

ポータブル決済端末、オールインワン決済端末、スマート決済端末、新しい決済端末3製品をリリースしました(飛天ジャパン)
「お金の流れを、もっと円(まる)く」決済ゲートウェイ事業のパイオニアとして、強固なシステムでキャッシュレス決済を次のステップへと推進します。(ネットスターズ)

国内最大級の導入実績を誇る決済代行事業者(GMOペイメントゲートウェイ)

決済シーンにdelight(ワクワク感)を!PCI P2PE 認定国内実績 No.1の「確かな信頼」を提供します(ルミーズ)
電子マネー、クレジット、QR・バーコード、共通ポイントなど、多数のキャッシュレス決済サービスをワンストップで提供(トランザクション・メディア・ネットワークス)
決済領域を起点に多様なビジネスニーズに応える各種ソリューションを提供(インフキュリオン)
ReD ShieldやSift等の不正検知サービスを提供し、お客様の不正対策を支援(スクデット)
BtoCもBtoBも。クレジットカード決済を導入するならSBIグループのゼウスへ。豊富な実績と高セキュリティなシステムで貴社をサポートいたします。(ゼウス)
TOPPANの決済ソリューションをご紹介(TOPPANデジタル)
多様な業界のニーズに対応した、さまざまなキャッシュレス・決済関連サービスを提供する総合決済プロバイダー(DGフィナンシャルテクノロジー)
決済業務の完全自動化を実現する「Appian」とクレジット基幹プラットフォームを合わせてご紹介!(エクサ)
チャージバック保証、不正検知・認証システムなどクレジットカード不正対策ソリューションを提供(アクル)

非対面業界唯一!!カード会社とダイレクト接続により、安心・安全・スピーディーで質の高い決済インフラサービスを提供。Eコマースの健全な発展に貢献する決済代行事業者(ソニーペイメントサービス)

stera terminalでお店のポイントがつけられる「VALUE GATE」(トリニティ)

Spayd スマートフォン、タブレットがクレジット決済端末に!(ネットムーブ)

DNPキャッシュレス 決済プラットフォームをご紹介(大日本印刷)

PAGE TOP