~時代の変化にいち早く対応していくためには~
2010年9月取得
SMBC ファイナンスサービス株式会社は、2009年からインターネットショップ(PC サイト、携帯電話サイト)や電話・FAX でのご注文に対応可能な統合決済サービス『決済ステーション』の提供を開始。
同社の『決済ステーション』は加盟店が共通のインターフェースで複数の決済手段「クレジットカード決済、コンビニエンスストア(払込票)決済、コンビニエンスストア(受付番号)決済、銀行振込決済、ゆうちょ振替決済、ペイジー決済、電子マネー決済、ネットバンク決済」の利用が可能な決済サービスであり、三井住友銀行グループの一員として、金融ビジネスによって蓄積された高いレベルでのセキュリティが確保されています。
今回は、2010年9月のPCI DSS へ の準拠に際し、トップマネジメントとして自ら強いリーダーシップを示された山口隆 取締役社長、そしてEC 推進企画部の皆様にお話しを伺いました。
写真:取締役社長 山口隆様
PCI DSS 認証取得にいたるまで
弊社は、さまざまな業務を展開しておりますが、決済ビジネスには、約30年の歴史があり、業務の根幹であるともいえます。 各種料金の口座振替に始まり、コンビニ決済など弊社では時代の変化にあわせた決済手段の拡充をはかり、順調に増収、増益を続けています。 ここ数年のインターネット通販市場の伸長に伴い、クレジットカード決済など、決済手段は格段の広がりを見せています。 決済ビジネスの新たな充実を目指し、『決済ステーション』の開発に着手しましたのは4、5年前であり、同サービスは2008年に稼働となりました。
決済ビジネスは装置産業的ともいえ、システムをきちっと作りこまないといけないというポイントがあります。 そして、システムへの投資を、営業活動を通じ回収していくわけですが、サービスリリース後、他の決済ビジネスが順調に拡大する中、『決済ステーション』が思ったように広がらない、その原因を探っていく中で、『PCI DSS の認証取得』というキーワードが浮かび上がってまいりました。 大企業、外資系に限らず、独立行政法人等との取引において、PCI DSS を持っていないためにビジネスに参入できない、入札に参加できないなどの障壁がいくつか生じておりました。
「ここはひとつPCI DSS を取っていかないと飛躍的にビジネスが伸びない」ということで、2010年はじめに、PCI DSS の認証取得準備に着手いたしました。 個人情報保護ということでは、弊社はプライバシーマークの取得をしております。歴史ある三井住友銀行グループの一員としてセキュリティ管理や信用力に高い意識をもって取り組んでまいりましたが、なかなかそれだけでは説得できない部分もございます。 今回のPCI DSS 認証取得は、プライバシーマーク取得同様に、顧客のニーズに応えることで、お客様から選んでいただくことにつながっていくという意味では、考え方は同一であると捉えております。
→ PCI DSSの認証取得がもたらすものとは
規格/スキーム
既にお話ししましたとおり、PCI DSS 認証取得の有無が競合他社との争点になる、そういったポイントがいくつかございました。 そこで求められたのが、「一日でも早くPCI DSS 認証取得を」ということでした。
実は、若い人たちの間では『決済ステーション』の開発の段階から、その意識を持っていたと思います。2、3年前から、「PCI DSS 認証取得が必要」という意見も実際にございました。 サービスのリリース時にPCI DSS の認証取得というのが本来は理想であったかもしれません。
コンサルタントと審査は分けて考えるべき
今回の認証取得にあたってはコンサルティング会社のサポートを得ましたが、コンサルティングと審査は分けるべきだとの考えがありました。 監査法人も然り、独立した第三者から審査を受けることが世の中の流れであろうかと思います。
また、今回は初めての審査ということでもあり、コンサルティングと審査の分離独立ということに加え、審査の実績やコンサルティング会社からの推薦という点を加味し、BSI 社を審査会社として選定しました。
PCI DSS の認証取得がもたらすものとは
PCI DSS 認証取得と時を同じくして『決済ステーション』を利用いただくお客様が順調に増えてまいりました。決済ビジネスとは、契約が出来てもすぐに稼働するビジネスではなく、実際のシステム稼働までに数カ月を要する場合もあります。最初の段階でセキュリティに強い関心を持っていらっしゃる企業は、ビジネスも広がっていくお客様であると考えております。
そういったお客様が弊社へPCI DSS 認証取得を要求しているのですから、まずはそれに応えなければいけないと思います。 より大口のお客様にサービスをご利用いただくためにもPCI DSS 認証取得について訴求していきたいと考えています。
→ トップの考え方が大切
トップの考え方が大切
世の中の常識というものは、つねに変わっていくものだと感じています。コンプライアンスやセキュリティといった面も含めて、昔は、あたり前とされたことであっても、時の流れとともに、もはや常識ではないということもあります。決済ビジネスにおいてもこれと同様に、さまざまな考え方が出てきて、今後厳しくなっていくと思います。
そういった時代の変化を機敏に捉え、対応していくことが肝要であると考えます。PCI DSSに毎年審査があるというのも、時代の変化に早く、きちんと対応できる一助となるかもしれません。
時代の変化にいち早く対応していくためには
世の中の常識というものは、つねに変わっていくものだと感じています。 コンプライアンスやセキュリティといった面も含めて、昔は、あたり前とされたことであっても、時の流れとともに、もはや常識ではないということもあります。
決済ビジネスにおいてもこれと同様に、さまざまな考え方が出てきて、今後厳しくなっていくと思います。 そういった時代の変化を機敏に捉え、対応していくことが肝要であると考えます。PCI DSSに毎年審査があるというのも、時代の変化に早く、きちんと対応できる一助となるかもしれません。
PCI DSS の導入について、今回の準備を現場で進められましたEC 推進企画部 金納勝也次長並びに、同企画部 鏡哲也次長、飯島晋次長よりお話しいただきました。
→ 現場担当者の皆様へインタビュー
写真: 右より。EC 推進企画部 次長 飯島晋様、取締役社長 山口隆様、EC 推進
企画部 次長 金納勝也様、同部 次長 鏡哲也様
PCI DSS の導入について、今回の準備を現場で進められましたEC 推進企画部 金納勝也次長並びに、同企画部 鏡哲也次長、飯島晋次長よりお話しいただきました。
― 認証にはどのくらいの時間を要しましたでしょうか?
事務局として3人、またサポートメンバーとして6人、システムの運用、開発委託先からのメンバーを加え今回16名体制ですすめました。 PCI DSS 認証取得の目標を2010年9月と定め、2010年の3月から4月にかけ、コンサルティング会社を介して『決済ステーション』の現状分析に着手しました。 対応すべきシステムの順位付けから始め、これと併行して、BSI 社との間で審査の準備を進めました。7月には本審査に先立つ予備審査、そこから8月には約一週間をかけた本審査受審へと進みました。本審査を通じていくつか上がった事項を解決し、9月のPCI DSS 認証へと至りました。
PCI DSS では求められるすべての項目を遵守する必要があります。 パスワード管理等で苦労されている会社も多いとも伺う中、私どもではそこはクリアできましたが、ネットワークに関する事項がひとつ大きな問題としてあげられました。
ここは根幹にかかわる部分ですので、システム開発投資を行い、更改を行うことにより対応を完了しました。
― 9 月の認証目標ということでしたが、スムーズに構築を進められた印象がありますが?
最初はシステム対応だけかなと思っていた部分があります。 やはりそれだけでは足りずPCI DSS に沿った形での社内規程の見直しが必要になり、そしてさらに重要なのは、運用面についてでした。 運用なしには、準拠の意味がありません。事務局メンバーがそれぞれの側面をリードする形となりました。 システム部分におきましては、三井住友銀行グループのセキュリティの基準点があり、それに沿った形で比較的スムーズに構築が進みました。
― 運用についてお聞かせください
運用面においては初めての開催となる勉強会の開催、クレジットカード情報を扱うエリアでの入退出手順の整理など、苦労もありました。また弊社は、三井住友銀行グループ内での人的交流が活発なため、弊社で初めて決済ビジネスにふれる者もおります。今後もきちんと知識を共有していく必要があると考えております。
本ページ記載の情報については取材時におけるものであり、閲覧をされる時点で内容が変更されている可能性があります。あらかじめご了承ください。
