ソフトバンク・ペイメント・サービス株式会社(2009年更新審査)

2010年4月14日  21:23
 
2年続けてPCI DSS、ISMSの同時審査を実施
専門部署が対応にあたる体制を確立  
 
ソフトバンク・ペイメント・サービスは、2008年からPCI DSSとISMSの審査を同時に行っている。ゆくゆくはプライバシーマーク(Pマーク)との3種同時審査も考えているという同社は、「情報セキュリティ管理室」に各部署からの情報を集めるなど、通常業務に影響が出ないセキュリティ体制づくりにも取り組んでいる。  

同時審査のメリットは 

工数・日数の短縮とコスト減 

 ソフトバンク・ペイメント・サービスでは、PCI DSS Ver.1.1に引き続き、Ver.1.2でもISMSとの同時審査を行った。同時審査のきっかけは、同社の審査を担当するQSA(認定審査機関)からの提案だったというが、同社でも十分にそのメリットを感じている。 

取締役COO兼CISO 巣立和彦氏

 「最大のメリットは、やはり工数の短縮ですね。別々に行っていた時はそれぞれ4日ずつかけていましたから、単純計算いうと8日間になる計算です。それが、トータル4.5日間で済むので、それだけ本来の業務に支障をきたす恐れが少ないということがいえます。それに加えて、コストダウンという利点もあります。ゆくゆくは、Pマークとの3種同時審査も実現していただきたいと思っています」(情報セキュリティ管理室 室長・柳沢浩治氏) 

 同社では設立時からカード情報を保有することに対してのセキュリティ・ポリシーを確立し、徹底して管理を行ってきた。各種審査の基準の背景を理解した上であらかじめ環境を構築しているため、基準の変更部分には改修をする程度で済むという。さらに、同社ではセキュリティに関する専門部署があり、各種審査の際はその部署が対応を行っている。 

暗号化、データ監視などは

独自の対応方法のため、説明時に苦慮

柳沢氏によれば、PCI DSS Ver.1.2では、審査の範囲よりもむしろ、レギュレーションの基準が上がったという印象が強いという。 「例えば、より具体的になったのが、無線LANのアクセスポイントの証跡やログの保管期限の延長など。特に証跡については、そこまで求められるとは考えていなかった部分までかなり細かく審査されました」 

 また、同社のシステムが独自の対応方式を実装していたために苦慮した部分もいくつかある。 

 「例えば、要件3.5について。PCI DSS基準によれば暗号化キーがデータ暗号化キーとは別個に保存されていることになっていますが、弊社の場合、暗号化に独自のシステムを使用しているため、要件そのままを適用させることはできませんでした。また、10.5.5のファイル整合性監視または変更検出ソフトウェアを使用して、既存のログデータを変更すると警告が生成されるようにするという部分に関しては、弊社では以前から24時間365日体制で手動でのチェック体制を行っています。『ソフトウェアを使用して』という規定が厳密になるのであれば、今後、何らのソリューションを導入することも考えなくてはいけません」(柳沢氏) 

セキュリティ・ポリシーやノウハウの共有で 

自社、加盟店ともに安全な体制をつくる 

同社では今後、加盟店への啓蒙活動という意味もこめて、新しいアプローチを考えているという。   

sbps2
情報セキュリティ管理室 室長・柳沢浩治氏

「PCI DSSの認知度が高まるにあたり、関心を持たれる加盟店様も増えてきたようです。しかしPCI DSS対策という観点だけでいうと、コスト的にも人的作業としても割に合わないと懸念することも多いのが事実です。私たち自身も、審査のためということではなくセキュリティを高めるということを目的において、ポリシーやノウハウを共有していきたいと思っています。そうすることによって結果的には、弊社に決済代行を任せていただいている加盟店様、そこを利用されたお客様すべてが安全な状態になるという環境を目指しています」(取締役COO兼CISO 巣立和彦氏) 

また、今年の秋に発表される次期バージョン以降、審査を受ける加盟店が多くなることも見込まれるが、それに関しての準備も怠らない。 

巣立氏によれば、「加盟店様の審査にあたっては弊社の体制が問われる部分もでてきます。そのたびに問い合わせやデータ提出など、弊社の業務に影響が出るのは避けたいところです。必要なデータはあらかじめ配布しておくなど、監査を受ける仕組みづくりを弊社で整えていくことも考えています」とのこと。これまで以上に「情報セキュリティ管理室」の重要性が高まりそうだ。

関連記事

ペイメントニュース最新情報

【7/8(水)無料開催】セキュリティ対策Webセミナー「ニューノーマルにおけるサービス・業務の非対面化 ~顧客を守る・会社を守るセキュリティの要点~」(セイコーソリューションズ)

国内最大級のクレジットカード情報データベース(アイティーナビ)

設立25年以上の実績を誇る決済サービスプロバイダ。クレジットカード決済をはじめ、対面・非対面問わず豊富な決済手段を取り揃え、ニーズに合わせて最適な決済方法をご提案します。(ゼウス)

オリジナルデザインで作れる、Amazonギフト券(トリニティ)

モバイル決済端末 (mPOS/SmartPOS) やQRコードリーダーをOEM/ODMでご提供します。お客様に代わってセキュリティ認定も取得可能です。(飛天ジャパン)

認証テスト、テストツール、コンサルティング、トレーニング。FIME JAPANは日本のキャッシュレス化を包括的にサポートします。(FIME JAPAN)

国内最大級の導入実績を誇る決済代行事業者(GMOペイメントゲートウェイ)

チャージバック保証、不正検知・認証システムなどクレジットカード不正対策ソリューションを提供(アクル)
PayBやWeChatPay/Alipay等のスマートフォン決済、 リアルタイム口座振替、信頼性の高い収納代行、送金など、 様々な決済ソリューションを提供(ビリングシステム)

SaAT ポケレジ スマートフォン、タブレットがクレジット決済端末に!(ネットムーブ)

ブランドプリペイド/デビット、クレジットの基幹プラットフォームを中心にご紹介、決済事業者様のデジタルトランスフォーメーションやFintechへの取り組みを強力にご支援します。(エクサ)

国内ICカードシェアNo.1(大日本印刷)

シンクライアント型電子決済サービス(トランザクション・メディア・ネットワークス)

「ハウス電子マネー/ギフトカードサービス」のニュース、導入事例のご紹介(富士通FIP)

決済情報コラムを好評連載中!「コンビニ収納ペーパーレス決済(番号方式)のわずかな、でも大事な違い」(NTTインターネット)

非対面業界唯一!!カード会社とダイレクト接続により、安心・安全・スピーディーで質の高い決済インフラサービスを提供。Eコマースの健全な発展に貢献する決済代行事業者(ソニーペイメントサービス)

不正決済対策の本質と弊社のサービス提供スタンス(スクデット)

世界最大のギフト・プリペイドサービス事業者(インコム・ジャパン)

全国180社以上の導入実績を誇る「CARD CREW PLUS」(ジィ・シィ企画)

カードシステムシェア70%の実績「NET+1」、不正検知システム国内導入実績NO,1「ACEPlus」(インテリジェントウェイブ)

PAGE TOP