2012年2月27日8:00
ブリッジ審査でPCI DSSとISMSの両認証を取得
「安心・安全」な決済代行サービスに力を入れる
長野県で2001年から決済代行サービスを提供するルミーズは、2011年12月31日付けで、同社のクレジットカードをはじめとするEC決済サービスおよびシステムが、ペイメントカード業界の国際的なセキュリティ基準である「PCI DSS Version2.0」に完全準拠した。また、同時に情報セキュリティマネジメントシステム「ISMS(ISO/IEC27001:2005 / JIS Q 27001:2006)」の審査も受審し認証取得を認められた。同社では「安心・安全」な決済サービスに力を入れている。
3~4年前から準拠に向け準備を進める
4月のキックオフから12月の審査までスムーズに対応
2,500サイト以上で実績があるルミーズは、12年の実績があり、中小企業を中心に「安心・安全」な決済サービスを、競合に比べ安価に提供している。セキュリティの強化にも力を入れており、同社の決済サーバに脆弱性がないかという診断を国内で初めて受診し、定期的なチェックを行っている。
PCI DSSの準拠を決意について、ルミーズ 取締役 村澤直芳氏は、「カード会社からの要請があったこともありますが、決済サービスを提供する上で、3~4年前からシステム投資を含めて準備をしてきました。『安心・安全』を提供する目的で2011年にISMSも含めて、取り組むことになりました」と説明する。
同社が研究を開始した当時、PCI DSSの基準はVersion1.2であり、「弊社のシステムでは、若干対応負荷が重かった」(村澤氏)というが、システム開発の準備を進め、Version2.0が適用になり、ベースもつかめてきたため、正式に準拠に取り掛かったそうだ。
同社では、PCI DSSとISMSの合同審査に向け、外部企業にコンサルティングを依頼。2011年4月に両規格の取得を目指してシステムのブラッシュアップ、社内業務手順の見直しに着手し、2011年12月までに、PCI DSSのQSA(認定セキュリティ評価機関)ならびにISMSの審査機関のブリッジ審査を受け、両認証の取得に至った。
「PCI DSSは、セキュリティ基準が明確に決められており、リプレイスの時期も含めて対応しやすかった部分はありましたが、4月のキックオフから12月の審査までスムーズに進めることができました」(村澤氏)
ログの収集方法の選定や設定に苦労
準拠後は担当者の管理意識が向上
技術的なハードルとしては、アプリケーションのOSのバージョンが異なるため、ログの収集方法の選定や設定に苦労したという。代替コントロールは、3カ所で適用している。PCI DSSの準拠に向け、かかったコストはコンサルティングやQSAの審査費用などだが、データセンタの移設やネットワーク機器などの導入を3~4年前から設備投資を段階的に行っていたため、「PCI DSS準拠のために新たに投資したシステムはなかった」(村澤氏)そうだ。
QSAの審査に関しては、まずISMSを実施。そのあとにPCI DSSの審査を行った。予備審査を受けずに本審査を実施したが、「審査を担当したQSAからの改善事項も特にありませんでした」と村澤氏は成果を語る。
準拠後の日々の運用面については、「社内のワークフローを徹底しており、特に負担になることはありませんでした。準拠したことで担当者レベルの管理意識は上がったと考えています」と村澤氏は笑顔を見せる。
PCI DSSへの準拠を加盟店にPRへ
セキュリティ関連サービスの提供も視野に
同社では、2012年以降もPCI DSSとISMS、以前から取得しているプライバシーマークの認証を継続していきたいと考えている。今後は、新技術の導入も検討しているが、「システム投資や社内の開発工数を考えながら研究を進めていきたい」としている。
PCI DSSについては、カード業界外での認知がまだまだ低いため、現状、加盟店からの問い合わせはないという。ただ、PCI DSSの基準をクリアしている決済代行事業者としてPRを行う方針だ。また、同社ではペネトレーションテストの実施など、コンサルティングも含めた展開を行う予定となっている。村澤氏も、「単純なカード決済代行の提供だけではなく、セキュリティも含めた周辺までサービスとして提供していきたい」と意気込みを語った。
