クレジットカード情報を守るために VISA、JCB、MasterCard などの国際クレジットカードブランドが策定した国際セキュリティ基準「PCI DSS(Payment Card Industry Data Security Standard)」への日本国内での対応が本格化している。本稿は、日本初の準拠認定例となった、ヤマトシステム開発株式会社にインタビューを実施、取得までの経緯や問題、取得後の課題について話を聞いた。
前編では、同社のカードソリューションカンパニー、システムグループリーダーである田近俊治氏(写真)にヤマトシステム開発株式会社 全体の視点からの話を聞く。
ヤマトシステム開発株式会社
http://www.nekonet.co.jp/
●お客様の安心 , 安全を大切に考える社風から全社一丸で取得へ
─ まず、ヤマトシステム開発株式会社について教えてください
弊社、ヤマトシステム開発株式会社は、ヤマト運輸株式会社の電算室(コンピュータ部門)を引き継ぐ形で1973年に設立されました。設立当初から各クレジットカード会社様は大切なお客様で、当時は80バイトのパンチカードで顧客情報を管理するような時代でした。現在では主に、クレジット業界向けのアウトソーシングサービスとして、入会受付などの「会員管理業務」から「加盟店管理業務」、会員管理システムや集金代行などの「FC , BC , 提携先管理業務」、DM関連や物流支援などの「物流管理業務」、重要書類保管などの「社内管理業務」、「人材派遣サービス」を提供しています。
─ ここ最近の情報セキュリティに関する問題には、何がありますか?
幣社はその性格上、情報セキュリティに関して常に危機感を持っていました。特に歴代の経営者が情報セキュリティについて理解があったため、リソースの投資(人 , 物 , 金)や時間がかかっても高度な情報セキュリティ対策を施すという社風があります。このため、幣社には早期から「情報セキュリティ委員会」が社内に設置されています。この委員会は社長直下に位置するもので会社組織を横断しており、事務局やオブザーバーも在籍しています。情報セキュリティに関しては、バーチャルとリアルの双方について委員会が対応しています。
ここ最近では、2~3年前からWebアプリケーションに関する問題、具体的にはSQLインジェクションやクロスサイトスクリプティングといった脆弱性が問題視されており、危機感を感じています。そのため、外部から疑似攻撃を実施してもらうWebアプリケーション診断を外部に委託し、幣社で作成したWebサイトすべてをチェックしました。その結果、約半数に問題が見つかり、すべて作り直しました。これには過去に納品したWebサイトも含まれています。
─ PCI DSS準拠認定を取得することになった経緯を教えてください
幣社が情報セキュリティに注力していることはお話ししましたが、これまでもPマークやVAN、ISO 9001、同20000、同27001などの認証を取得しています。これは社風から「お客様の安心 , 安全を大切に考える」という意識があり、その都度新しいテーマが出ていました。また、ヤマトグループではヤマトフィナンシャル株式会社による「クロネコ@ペイメント」といった複数の決済手段を提供しており、弊社ではお客様が簡単にWebサイトを構築できる「e-ネコショップ」も提供しています。
これらのサービスについて、お客様が安心して買い物ができるように、最近では3Dセキュアの対応を行いました。PCI DSSについては、2005年11月にVISAインターナショナルから認証取得のお話をいただき、これを受けて「早急に対応の必要有り」という判断をしました。しかし、この運送業界の12月は繁忙期であり、システム更新が一切できない社内ルールがあります。そこで2006年3月にPCI DSS取得のプロジェクトを立ち上げ、訪問審査を経て7月12日にVer.1.0の完全準拠を達成しました。
─ プロジェクトについて教えてください
プロジェクトには、情報セキュリティ委員会にPCI DSS対策事務局を設置し、すべてのインフラを管理するシステム本部、e-通販ソリューションカンパニー、決済サーバを持つカードソリューションカンパニー、グループソリューション事業部、人事戦略室などからメンバーを選出しました。PCI DSSは、PAN(カード会員番号)を扱っている部分に適用されますが、当社の場合はこれらが適用範囲となります。ただ単にハードウェアとソフトウェアの部隊をくっつければ終わりというわけではないので、当社のような下地のある会社でも、かなり厳しいプロジェクトになりました。
特に、各部署の精鋭部隊が管理、進行を行い情報セキュリティ委員会に報告、連携しながらプロジェクトを進めていきましたが、メンバーは通常業務の半分の時間をプロジェクトに費やすことになり、その延べ工数は60人月にも及びました。当初は部署によって温度差があり、優秀な人材をプロジェクトに取られることを嫌がりましたが、とにかく必達命令なので各部署の責任者の理解を得て、横の連携と縦の連携で、社内一丸となって進めることができたのです。
また当初は営業のスタッフとの温度差もあり、「PCI DSS取得は営業の際に有効なのものになるのか」といった問い合わせも多くありました。社内でのPCI DSSに対する認知が進むにつれて、今度は営業が幣社のクレジット決済関連サービスをご利用のお客様にPCI DSSについて説明することに苦労したようです。「安いに越したことはない」というお客様も多いですから。ただ現在では、企業の経営者層が顔を合わせるような席で、「ウチのPCI DSSの導入についても見て欲しい」と言われることも多くなったようです。トップダウンの依頼ですから、営業的には一番早いですよね。こういうケースが増えてくると嬉しいです。
─ 今後について教えてください
幣社はサービスの提供範囲が非常に広いことが特徴です。そのため情報セキュリティについてもリアルとバーチャルの両方で対策が必要になります。現在、この比率がリアル2に対してバーチャル8といった状況ですので、今後はもっとリアルのセキュリティを向上してバランスを取っていかなければならないと考えています。情報セキュリティはお金も時間もかかり、しかも終わりのないものです。
また、社内全体を見ながらバランスを取る必要がありますが、ここ数年は社員教育にも注力しています。入社すると同時に教育を開始していますが、これは契約社員に対しても同様です。実際の職務においても私物、特に携帯電話や録音、録画機器、USBメモリなどの事務所内への持ち込みは禁止しています。これは、規制をしないと社員を守れないためで、社員の潔白を証明するためのものなのです。社員教育は毎年実施しなければならず、温度差もあるので難しいのですが、もっと浸透させていきたいと考えています。 (後編につづく)
(取材・文:吉澤亨史)
