「加盟店ウェブサイト向けセキュリティサービス」を開発(三井住友カード)

2014年7月23日8:41

「加盟店ウェブサイト向けセキュリティサービス」を開発
加盟店に対し、セキュリティの重要性を訴求

近年、インターネット加盟店のWebサーバからクレジットカード情報などが漏えいする事件が相次いでいる。国内を代表するアクワイアラ(加盟店開拓事業者)である三井住友カードは、NRIセキュアテクノロジーズ(NRIセキュア)と協力し、ECサイトなどで非対面取引を行う加盟店への「加盟店ウェブサイト向けセキュリティサービス」として、Webサイトの基礎的なセキュリティチェックやASVスキャンの特別価格での提供、またペイメントカードのグローバルセキュリティ基準となる「PCI DSS」についての無料の勉強会を開始した。

従来よりも加盟店の負担の少ない価格で提供
NRIセキュアと協力してサービスを展開

三井住友カードは、営業部隊が中心となり、加盟店にセキュリティ意識を高めてもらう取り組みを行っている。以前はPCI DSSに特化した推進チームが加盟店を訪問しており、現在は各加盟店担当が加盟店の規模や業態に合わせて個別に推進している。

ただし、PCI DSS準拠等のセキュリティ対策は、それなりのコストが必要となる。また、営業担当が説明する際、加盟店のモチベーションを高める武器となるものが用意しにくかったという。今回、NRIセキュアと連携し、より敷居を下げたサービスを提供することで、まずはセキュリティの重要性を認識してもらい、それをきっかけにPCI DSS準拠まで結び付けたいと考えたそうだ。

smcc1

PCI DSS システムスキャンレベルと加盟店Webサイト向けセキュリティサービスとの関係

新たに開始した「加盟店ウェブサイト向けセキュリティサービス」の目的のひとつは、主にEC加盟店を対象に、セキュリティ対策のレベルアップを支援することである。

加盟店がPCI DSSに準拠することは理想だが、「ASVスキャン」を実施することで、インターネットで公開されるシステムに求められるセキュリティ対策の状況が確認できると同時に、PCI DSSの準拠要件の1つを満たすことができる。その事前調査として、まずは、加盟店自身に自社のセキュリティレベルを把握してもらうため、加盟店ウェブサイトの基礎的なセキュリティ状況を確認するサービスも併せて提供する。料金も三井住友カード加盟店向けにそれぞれカスタマイズして、加盟店の負担が少ない特別価格という形で提供している。

「まずは、自社のECサイトの現状を把握することが重要だと考えます。安価な簡易チェックの客観的な結果を基にPCI DSS準拠への第一歩となるASVスキャンの実施につなげ、加盟店網のセキュリティ強化に努めていただきたいです」(三井住友カード 商品企画開発部兼アクワイアリング企画部 浅井玲子氏)

ワンストップでPCI DSS準拠につなげる
PCI DSSの詳しい解説とアドバイスを行う勉強会を無料で実施

右から三井住友カード 商品企画開発部兼アクワイアリング企画部 副部長 川名芳生氏、同部 部 浅井玲子氏

右から三井住友カード 商品企画開発部兼アクワイアリング企画部 副部長 川名芳生氏、同部 部 浅井玲子氏

今回のサービスのもうひとつの目的は、加盟店がPCI DSSについて正しい理解を持つことである。PCI DSSに準拠するためには、QSAと呼ばれる認定審査機関の審査を受ける必要があり、今回提携したNRIセキュアもQSAの資格を有する。そのNRIセキュアのQSAを講師として、詳しい解説とアドバイスを行う勉強会を開催し、三井住友カードの加盟店は無料で参加可能だ。まずは、都内で年2回の勉強会開催を予定しているが、「将来的には他の都市にも広げていければと考えています」と、三井住友カード 商品企画開発部兼アクワイアリング企画部 副部長 川名芳生氏は語る。

今回のサービスは、三井住友カード側からセキュリティベンダーに提案。加盟店にセキュリティ意識を高めてもらいつつPCI DSS準拠に少しでもつなげることができないかと考え、同サービスの企画に至ったそうだ。同社では、ワンストップでPCI DSS準拠まで至るように、PCI DSSの審査が可能なQSA数社に話をし、「提案いただいたなかで、NRIセキュアの提案が最も加盟店にとって負担の少ないサービスを提供できるものでした」と浅井氏は説明する。同サービスについては三井住友カードの直接的な収益は特になく、あくまでも加盟店へのサービスの一環として実施している。

健全な市場をつくるためにサービスを紹介
今後はセキュリティ情報の提供も検討
後編は、7月29日発売の書籍「カード決済セキュリティの仕組み」でご紹介します。

page toppagetop