セブン&アイ・ネットメディアにPCI DSS認証を実施(BSIジャパン)

2014年10月2日10:38

BSIグループジャパン(BSIジャパン)は、セブン&アイ・ネットメディアにPCI DSSを認証した。監査完了日は2014年8月29日、認証登録日は9月12日となる。

PCI DSS認証授与式の様子。右からセブン&アイ・ネットメディア 代表取締役社長 鈴木 康弘氏、BSIグループジャパン株式会社 代表取締役社長 竹尾 直章氏(出典:BSIジャパンのプレスリリース)

PCI DSS認証授与式の様子。右からセブン&アイ・ネットメディア 代表取締役社長 鈴木 康弘氏、BSIグループジャパン株式会社 代表取締役社長 竹尾 直章氏(出典:BSIジャパンのプレスリリース)

セブン&アイ・ネットメディアは、セブン&アイのグループ会社として、ネット通販事業、メディア事業などを中心に事業を展開し、また世界的にも大規模な試みとなるグループ全体のオムニチャネルの構築においてその戦略推進を担っている。“オムニチャネルにおいて顧客が安心して買い物するためには、商品の安全も決済の安全も両方確保しなければいけない”という方針から、カード情報セキュリティの一層の強化のためPCI DSSの準拠を決め、セブンネットショッピングシステムにおいて完全準拠の認証を取得した。

セブン&アイ・ネットメディアでは従来からISO 27001を取り入れ、そのマネジメントサイクルを通じてセキュリティレベルの維持、強化を行ってきたが、さらにPCI DSSの定義する要件をクリアすることで、より安全なセキュリティ対策を構築できるものと考え、PCI DSS基準に準拠する対応を行った。

PCI DSSの構築・準拠においては、ISO 27001のマネジメントサイクルや管理策にPCI DSS基準の考え方を取り入れることで、それぞれの要求事項への対応が分散化しないよう一元集約化を意識し、セキュリティ管理効率の向上を図ったという。また、短期間での準拠を目指した取り組みだったため、準備期間の計画は日次レベルで設定した。さらに、1日の遅延が他のタスクにも影響を及ぼす可能性があったため、毎日朝と夕方に進捗確認会を開催し、具体的な遅延原因を共有しながら遅延タスクを即時で解消しながら進めていったそうだ。

成果として、PCI DSSはクレジットカードセキュリティの基準ではあるが、準拠を通じてクレジットカードに関するセキュリティだけでなく、全般的なセキュリティ対策の強化にもつながったという。また、PCI DSSが要求する基準に対応していく過程で、関連する業務プロセスの見直しを行うことができたそうだ。準拠の過程でシステム部門を中心に現場部門が果たす役割が大きかったため、PCI DSS要求事項を担当部門自らが理解するきっかけをもつことができ、PCI DSS基準にそった今後のシステム開発や運用を行うベースができたという。

page toppagetop