導入の背景
セキュリティを担保した外部の信頼できるサービスを活用
キャッシュレス社会を支える決済代行サービスは、それと意識しなくても、日々のオンラインショッピングなどで多くの人が活用しています。
ロボットペイメントもそうした決済代行サービスを提供する一社で、一度カード情報を登録すれば毎月自動で請求・決済が行われるサブスクリプション型サービスに特化した決済代行サービスを提供していることが特徴です。また決済と同時に、クレジットカード情報だけでなく、顧客に関するさまざまな情報を収集・管理できることも、他に類を見ないサービスとなっています。
クレジットカード情報と顧客の個人情報という、機密度が非常に高いデータを扱う同社にとって、セキュリティ対策は事業を支える根幹の1つです。クレジットカード業界のセキュリティ基準である「PCI DSS」やプライバシーマークに準拠し、ネットワークやシステム面で堅牢な対策を実装するほか、アカウント管理から社員のセキュリティ教育に至るまで、包括的な対策を進め、安心できるサービスを提供してきました。
同社が最近注力しているのが、オンプレミス環境からパブリッククラウドへの移行です。「自前ですべてのシステムを構築し、セキュリティ対策まで行うとなると、やはり開発・運用負荷の増大は避けられません。高度な形でセキュリティを担保した外部の信頼できるサービスを活用することで、常に新しいセキュリティ対策をどんどん導入し、対応できると考えています」(戸田 貴之氏:ペイメント事業部 システム課 マネージャー)という考えから、PCI DSSに準拠したサービスを選択し、積極的に活用してきました。
導入の経緯
金融機関を中心に豊富な導入実績があるクリプト便を選択
クラウドも取り入れ、さまざまなプロセスを効率化してきたロボットペイメントだが、どうしてもアナログで処理してきた業務があった。顧客企業との間のクレジットカード情報の受け渡しです。
「2011年に初めてPCI DSSに準拠したころからずっと、USBメモリにクレジットカード情報を保存し、2種類のパスワードをかけて保護した上でやり取りしていました。郵送したり、急ぎの場合には手渡しで行うこともありました。どうしてもすぐ決済をかけたいという時には、私も何度か、電車でお届けに上がったこともあります」(梨本 雅人氏:ペイメント事業部 カスタマーサポート課 マネージャー)
パスワードで保護しているとは言え、物理的な媒体にはどうしても紛失・盗難のリスクがつきまとう。また、移管後のデータ消去作業を強制的に行う仕組みがなかったことも不安の一因でした。
加えて、年々オンラインサービスの活用が広がり、ビジネスにスピード感が求められるにつれ、「もっと簡単でスピーディな方法で受け渡しをしたい」という顧客からの要望も高まっていたといいます。
こうした背景からロボットペイメントでは、クレジットカード情報をオンラインで受け渡しできる手段を探し始めたが、クリプト便は初めから有力な候補でした。すでにいくつかの顧客が導入済みという実績があったからです。
「われわれシステム担当でもいくつかのサービスを比較しました。自前でシステムを構築する方法も検討しましたが、その手間やコストを考えると難しい上、金融機関を中心に豊富な導入実績があることからクリプト便を選択しました」(戸田氏)。NRIセキュア側から、PCI DSS準拠の準備を進めている旨の説明があったことも、大きな要因となりました。
導入の効果
USBの手間を省くことで、工数や運用コストを削減できると期待
ロボットペイメントでは、試験的な導入を通して使い勝手や手順を確認した上で、6月から本格的な稼働を開始しました。
「試験導入の段階から、マニュアルも含めわかりやすい説明をいただき、導入までスムーズに進めることができました。認証に必要なクライアント証明書も、依頼後すぐに発行いただいたり、ヘルプデスクからいろいろなアドバイスをいただくことで、時間をかけずにどんどん設定できました」(戸田氏)
基本的にはこれまでの業務プロセスに大きな変更はありません。USBメモリにデータを保存してやり取りしていたステップが、そのままクリプト便に置き変わった形です。グループ単位でのアクセス制御やパスワード保護といったクリプト便の機能を活用することで、業務に携わる特定のメンバー及び特定の端末しかクレジットカード情報にアクセスできないようにし、強固なセキュリティを担保しています。
何より、オンラインでデータをやり取りできるようになったことで、「これまでのUSBメモリでのやり取りで発生していた手間を省くことができ、工数や運用コストをかなり削減できると期待しています」と戸田氏は話します。顧客と直接接する名取 佑太郎氏(ペイメント事業部 営業課 マネージャー)も、「データのやり取りの説明の部分で、クリプト便を使っていることを説明することにより、お客様の安心感に結びついていると思います」と述べています。
今後の展望
「セキュリティに万全を期す」を追求
顧客企業とのクレジットカード情報のやり取りにクリプト便を採用し、本格的に稼働を始めたロボットペイメント。社内で扱うそれ以外の重要な情報のやり取りについても、クリプト便の活用を検討していく方針です。また、「PPAP」とも表現される、パスワード付きZIPファイルの代替手段として活用することも視野に入れています。
約20年にわたって決済業界に携わってきた小倉 政人氏(取締役)によると、とかく不安ばかりが先立ったオンライン決済の黎明期とは異なり、ネット上でクレジットカード情報を入力して決済をする行為は今や当たり前となりました。「理解が進んだことで、万一情報漏洩が起こった時に問われる責任も非常に大きくなっています。セキュリティはどうなっているのかという我々に対する指摘も、年々深く、厳しくなっています」と話します。
こうした変化を踏まえてロボットペイメントは引き続き、PCI DSSをはじめとする業界標準を遵守し、行動規範の1つでもある「セキュリティに万全を期す」を追求していきます。
「今の時代、オンプレミスですべて自分で作るやり方は、工数を考えてもあまりいいやり方とは思えません。本当に信頼でき、実績のあるいろいろなパートナーさんの力を借りながら実現していきたいと思っています」(小倉氏)
同社は今、「日本の請求書を自由に」という目標を掲げ、これまで紙とハンコを使って行われてきたさまざまなビジネスプロセスをデジタル化し、アナログな紙文化から脱却する支援を行っているが、その中で、セキュリティもともに追求していきます。「セキュリティと利便性の高いサービスとは、トレードオフの関係にあるとも言われますが、われわれは、セキュリティ対策に終わりはないという考え方で、どこよりも強固なサービスを提供していきます」(小倉氏)
※本文中の組織名、職名、概要図は公開当時のものです。(2021年7月)
