電子マネーセンターでPCI DSSに準拠した経験を生かしクレジット事業を開始(トランザクション・メディア・ネットワークス)

2018年7月12日8:00

「PCI P2PE ソリューション」のプロバイダ認定でカード決済処理をセキュアに

クレジットカードや電子マネーの決済センターや端末の提供を行うトランザクション・メディア・ネットワークスは、2015年にペイメントカードの国際的なセキュリティ基準「PCI DSS」の準拠認定を取得しており、その後も準拠を継続している。また、カード情報の端末からセンターまで暗号化した状態で処理する「PCI P2PE ソリューション」のプロバイダ認定を国内でいち早く取得した。

高セキュリティな電子マネーシステム運用で差別化を図る
2017年はTMNクレジットセンタでPCI DSSに準拠

トランザクション・メディア・ネットワークスは、電子マネー決済ブランドの処理やセキュリティ(暗号化)などの主要機能をセンター側に集約する「TMNシンクライアント決済サービス」を2011年から提供している。トランザクション・メディア・ネットワークス 代表取締役 大高敦氏は、「2016年が8万6,000台、2017年は5万5,000台の端末を提供しており、今年は10万台弱の接続を行う予定です」と語る。

トランザクション・メディア・ネットワークス 代表取締役 大高敦氏、品質管理部 部長 佐藤吉成氏、基盤システム部 マネージャー 二宮義之氏

従来は電子マネー端末の「UT1-Neo」を自社端末として提供してきたが、2018年春からはクレジット決済、電子マネー決済に対応したマルチ決済端末「UT-X10」の販売を開始した。また、電子マネーに加え、クレジットカード、電子マネー、インバウンド決済の処理を行うセンターとしての役割を担っており、すでに大手コンビニエンスストア、量販店などでクレジット処理が稼働している。自社端末に加え、POSや他社製の決済端末の採用も多い。大高氏は、「弊社の事業の拡大の傾向は、オープンな事業ポリシーに基づくものとして、戦略的に行っています。長期にわたって安定的なビジネスを行うことを考えると、自社端末以外も推奨しています」と説明する。

同社では、「TMN シンクライアント決済サービス」において、2015年にPCI DSS Version3.0の準拠認定を取得している。PCI DSSは国際ブランドのペイメントカードの基準だが、電子マネーのセンターとしていち早く認定を取得した。当時は、クレジット決済センターである「TMNクレジットセンタ」を立ち上げる予定はなかったが、「電子マネーのサービスはよりセキュリティ性の高いものであり、機能プラスアルファのサービスがお客様の採用の決め手となればと考えました」と大高氏は準拠の経緯を述べる。

同社 品質管理部 部長 佐藤吉成氏は、「PCI DSSは運用のウェートが大きく、アクセスログを取る、改ざん検知の仕組みを入れるといった対応は、既存のシステムを更改するタイミングで取り組みました」と説明する。

代替コントロールは複数の項目で適用している。PCI DSSでは、パスワードの定期的な変更が求められるが、サーバー系の機器であればポリシー設定で適用できるが、ネットワーク機器は自動的に行うことができず、手動で変更しなければならなかった。それは現実的ではないため、代替コントロールでアクセス権を制限する形で定期変更している。

PCI DSSは日々の運用も大切で、労力も伴うが、社内でPCI DSS準拠という素地ができてからは、当たり前に取り組むようになっている。現在は、セキュリティを専門的に扱う部署を作り、PCI DSSに加え、全社的なセキュリティ対応を進めている。

結果的に、初回の審査では、コンサルティング、監査、必要なシステムを導入して1,000万円ほどの費用を要した。2015年の初回審査時は5~6カ月の期間を有したが、2016年は3カ月ほどで対応できたという。2017年からは、TMNクレジットセンタの本番稼働前で準拠を取得したが、「クレジット基盤を作るのは時間がかかりましたが、電子マネーで準拠していたため、具体的な対策を基本設計や要件を決める段階で行えました」と佐藤氏は成果を口にする。現在は、TMNクレジットセンタとして、PCI DSSに準拠している。

大手コンビニにおいてP2PEソリューションで運用/復号化と鍵管理の環境は時間を掛けて構築
先行してP2PEソリューションを提供する強みを生かす/目指すは情報のプロセッシング

(書籍「カード決済セキュリティ PCI DSSガイドブック」よりトランザクション・メディア・ネットワークスの記事の一部を紹介)

page toppagetop