インフォセック・ソリューション導入事例
JTBグループ様/PCI DSS認証取得支援

コミュニケーションの力で勝ち取って認証。2020年に向けて、より高水準で多面的なセキュリティをめざす。

情報インフラの分野では、コンプライアンス重視の傾向がますます強まっています。事業規模が大きくグローバルな企業ほど、その対応にはセンシティブにならざるを得ません。
旅行業界国内トップを走るJTB グループ様は、旅行販売店舗、ホテルや旅館、カード会社などと広汎なネットワークを形成しており、コンプライアンスに対する意識も別次元の高さで業界をリードするポジションにあります。
このほど、JTB グループ様のPCI DSS 認証取得にご協力できたことは、インフォセックにとって大きな成果であるとともに、JTB グループ様にとってもグループの事業を支えるセキュリティ基盤が整備できたという重要な意味があったと感じております。事例紹介に当たり、プロジェクトに関わった方々に経緯や感想などを伺いました。

  • 株式会社ジェイティービー 事業創造部企画開発担当マネージャー 仲條誠司様
  • 株式会社JTB ビジネスイノベーターズ システムソリューション開発室長 小林範士様
  • 株式会社インフォセック コンサルタント 宮原紀子
  • 同 アカウントマネージャー 中澤一聡

JTB グループ様への認証取得支援概略図

JTB グループ様への認証取得支援概略図

準備 ~Preparations~

データの非保持化からPCI DSS 認証取得へ。認識のギャップを埋め、準拠水準に近づけていくプロセス。

まず、認証取得に取り組まれる以前の、情報セキュリティに関する御社内の問題意識について、お聞かせいただけますか?

小林業界全体のトレンドとして、カード決済の普及に伴い各カード会社からセキュリティに対する要請が高まっている現状があります。弊社でも、2013 年度からグループ全体でクレジットカードに関連したデータの"非保持化※1" を推進してきました。カード処理のアウトソーシング化などを行い、2014 年に取り組みは完了したのですが、客観的にみてJTB マルチペイメントサービス(以下、マルチペイメント)のセキュリティが担保されているのかどうか、今一つ確信が持てない面もありました。そこでマルチペイメントのセキュリティ検証と運用面の整備を兼ねて、PCI DSS※2の認証取得に踏み出したというのが経緯です。

仲條業界全体を見れば、セキュリティ面のコンプライアンスが十分に進んでいるとは言えません。弊社にも「底上げをしたい」「率先して範を示してほしい」といった要請や提言が業界内からあり、「微力ながらお役に立とう」と着手した側面もあります。

小林社内では、PCI DSS 認証取得の必要性に対する理解はあるものの、「今やるべきなのか」といった意見もありました。しかし、2017 年にはクレジットカード情報の管理強化がさらに進むことも想定されていたので、グループ全体の準備としても今が絶好のタイミングだという結論に達したわけです。

そこでインフォセックを選ばれたのは、どんな理由からでしょうか?

インタビュー

小林グループ内のセキュリティ対策のガイドライン作成などで、以前から協力関係にあり、内情をよくご存じということでお願いしました。特にマルチペイメントの運用体制を整備するという最優先の課題に、どこよりも的確に応えてくれるはずと期待しました。ただ、大前提としてグループ会社を結ぶマルチペイメントの運用ありきのスタートのため、認証取得を、カード払いに直接応じるお店の立場で進めるのか、マルチペイメントサービスを運営する側に立つのかで、若干認識にズレがあり、それを調整してコンセンサスを形成するのが最初の関門でした。非保持化とは別のスタンスでPCI DSS 準拠のドキュメントを作るわけですから、前後関係の入れ替えや体系の構築には時間を要しました。その課題を解決し、方針を決定してからは、比較的スムースに作業が進んでいった印象です。

宮原これまでJTB グループ様の情報セキュリティ対策のご支援はしておりましたが、やはり非保持化対応に関わってきたことは、大きかったと思います。約半年でPCI DSS 認証取得を達成できたのも非保持化対応において確立した相互理解のベースがあったからです。

仲條プロジェクトとしては、段階を踏んで進めてきたシステム環境整備の集大成としてPCIDSS 認証取得が位置付けられ、そこにグループ全体で関われたことは大いに意義があったと思います。

それほどの事案となると、相当なプレッシャーもあったのではないですか?

宮原認証を取得するためのご支援なので、取得するまで緊張感はありました。 PCI DSS の認証取得支援ではクライアント様サイドから、たとえば運用に対して「そこまでやるのか」といった反応もあります。今回もゴールとプロセスを丁寧にご説明し、お客様との認識のギャップを埋めることに努めました。でも、「ちょっとハードルが高いかな」と思うことはありました。

小林それは、私の方も感じており、時には、きつく反論したりもしました...(笑)。

宮原失礼しました(笑)。ただ、「認証取得のためには絶対必要」と信じているので、納得がいかない場合は決して妥協はできませんでした。

実務 ~Affairs~

コミュニケーションの力で勝ち取った認証。
2020年に向けて、より高水準で多面的なセキュリティをめざす。

プロジェクトが動き出してからのインフォセックの対応はいかがでしたか?

インタビュー

仲條非保持化対応の段階から参画していただいたので、弊社の情報セキュリティについて理解が深かったですね。全体を通じての進行管理でも、ほとんどお任せのような形でお世話になりました。プロジェクトの体制としては専任を置かずに通常業務の傍ら数人で対応する「二段構え」になりましたが、PCI DSS の認証取得は必須事項であり、先行投資でもありましたから、丁寧な説明を受けて、早め早めに意思決定できたのは何よりも有難いことでした。

小林実際に、こちらはそれだけに専念できず、業務の合間を見つけて対応することもありましたが、スケジュール面でも予算面でも、ずいぶん無理を聞いていただきました。

宮原私は、JTB グループ様のレスポンスの良さを感じました。こちらも「すぐにA のデータを出してください」などと、無理な要望もしましたが、素早く対応していただき助かりました。それは、PCI DSS 認証取得に対する理解と共通認識がベースにあり、マルチペイメントサービスにも一貫したコンセンサスがあるからだと私なりに分析しています。コミュニケーションは、やはり双方向のものですから、平易な言葉を通して共通の認識に達するのは難しいものです。今回は、その部分での苦労が少なく、仕事が進めやすかったです。

厳しいPCI DSS 準拠ゆえの難しさはあったと思いますが...?

宮原さきほどもお話しましたように、PCI DSS 要件の厳密さをご理解いただくまでに時間を要する場合があります。今回も些細な点ですが「1つの表示がない」というだけで、アプリを改修せざるを得ないケースがありました。認証取得のケース以外なら、機能が実装されているので問題ないと申し上げられますが、認証取得には対応していただく必要があることもご説明しなければなりません。
私たちは、あくまでも認証取得を支援する立場であり、最後は審査員がどうジャッジするかに掛かっています。合否のラインと対応の合意点を見出すのが難しい場合は、パスするレベルを提示し、合意点を一緒に探していくことで、納得した上でゴールを目指すことができると思っています。

小林実際に、「言われた通りにすれば取れる」という確信が心強かったですね。逆に「取れない可能性もある」なんて言われたら、「やる必要があるのか?」と、また後ろ向きの議論になってしまいます。その点では、引っ張っていただいた印象があります。

宮原こちらも妥協はしませんでしたが、PCI DSS 要件が許容する範囲では、なるべくご相談に応じたつもりです。特に運用面は、先々長く続いていく業務でもありますから...。

仲條コンサルという仕事の宿命なのかもしれませんが、認証取得支援という弊社寄りの立場と審査する側の中立的な立場を使い分けなければならないですからね。その辺の事情は、こちらもよく理解しつつ違和感を覚える事もしばしばありました。そのギャップを埋めることができたのは、一にも二にもコミュニケーションの賜物だったと思います。

認証取得について、社内外の評価や反響はいかがでしたか?

小林取得からまだ数か月なので、具体的な効果は測れていないですが、対外的には取引先の1 つである外資系金融機関から好印象を持っていただけました。従来は、「認定を取得した会社にアウトソースしている」という告知だけでしたが、今後はJTB グループとしてもPCI DSS 認証取得をアピールしていけるので、営業面でプラス要素が出てくるだろうと期待しています。

仲條業界にも広く伝えていくことは重要です。それによって業界全体の意識の高揚が図れれば、弊社としても一定の責任を果たすことができるのではないでしょうか。

次のステップとしては、どんなことが考えられますか?

小林PCI DSS 認証取得が済めば、それで終わりではありません。ようやく緒に就いたばかりです。マルチペイメントの運用では、内部のレベルアップが課題として挙げられます。それは、必ず実行しなければならないことです。

インタビュー

宮原審査は年1 回行われます。初めは「取れてよかった」という安堵感が大きいのですが、2 年目、3 年目と継続して運用する大変さが、これからじわじわ表れて来るのだろうと思います。理想としては、日常業務の中で「気が付いたらセキュリティが守れた」という感覚で、業務とセキュリティが一体化するように微調整をしていく必要があります。それに対しては、緩やかな支援と言いますか、"影の象(かたち)に添う" ようにサポートをさせていただければと考えています。

小林今回は1 つのサービスで認証を取りましたが、今後は個別の事業単位で認証取得をしていくことになります。特に2020 年の東京五輪に向けて、海外のカード事業者への対応という面でもハードルが上がってくるので、インフォセックさんにはさらに大きなご支援を期待しています。

仲條その意味では、認証取得という"形を作って"これからが"魂を入れる"段階です。コミュニケーションをさらに深めて協力していきましょう。

プロダクトレビュー

  • PCI DSS認証取得の前に、ガイドラインの作成で信頼関係を構築
  • 現状のシステムとPCI DSS基準とのギャップを丁寧に説明
  • コミュニケーションで、さまざまな困難と意見の相違を克服
  • スケジュールや予算面は譲歩しつつ、審査の厳しさは一貫して訴求
  • 運用の継続性を相互に理解した上で、次の段階を視野に入れた取り組み
  • カード決済業務を代行サービス会社に委託するなどして、クレジットカード情報を保持しないこと。PCI DSS の基準でも、センシティブ認証データのオーソライズ(認定)後の保管は禁じられている。
  • 国際クレジットカードブランド5 社(VISA・JCB・MC・AMEX・Discover)が加盟店や決済代行事業者などの取り扱うクレジットカード情報および取引情報を完全に保護することを目的として策定したグローバルセキュリティ基準。Payment Card Industry Data Security Standard の略。インフォセックは、その認証取得支援事業を行っています。

この事例で紹介したサービス