導入事例

PCI DSS SAQ準拠パッケージ 導入事例テック航空サービス株式会社 様

自己問診(SAQ)によるPCI DSS準拠に向けて、手引きや基準書などが揃ったSAQ準拠パッケージを採用
初期コストのみで対応を実現するとともに自社でノウハウを蓄積

企業の出張者向けの航空券やビザの手配、ホテルや移動手段の手配などの代理店業務を手がけるテック航空サービス株式会社(以下、テック航空サービス)。同社では2018年6月に施行される改正割賦販売法への対応や、国際航空運送協会(IATA)からの要請によって求められるクレジットカード情報の漏洩対策に向けてPCI DSS準拠を検討していました。各種調査を繰り返す中、手引き、対策基準、フォーマットがセットになった「PCI DSS SAQ準拠パッケージ(SAQ C-VT版)」を採用し、自己問診によって対応を実施。初期費用のみで利用できるパッケージにより、低コストでPCI DSS準拠を実現するとともに、自社で適切な引継ぎができる運用環境を整えています。

導入背景:改正割賦販売法への対応とIATAによる義務化に合わせてPCI DSS準拠を検討

テック航空サービスがPCI DSS SAQ準拠パッケージ(以下、SAQ準拠パッケージ)の導入を考えることになったきっかけは、2016年12月に公布された改正割賦販売法への対応でした。同法では、クレジットカード情報の漏洩対策として、クレジット取引を行う事業者に対して、2018年3月末までにPCI DSSへの準拠またはカード情報の非保持化を求めています。それに加えて同社は、海外航空券をクレジットカード決済で発券するために加盟している国際航空運送協会(IATA)から、2018年3月1日までにPCI DSSに準拠することを義務付けられていたこともあり、PCI DSS準拠を検討しました。

企業向けの航空券予約やホテル予約を手がける同社は、顧客から法人クレジットカードの情報を預かり、各種の手配業務を代行しています。しかし社内ではセキュリティポリシーが十分に整備されていませんでした。専任のセキュリティ担当者も不在で、PCI DSSに関する知見もありません。同社 観光事業部長代行 開発企画室長代行の藤永宏史氏は次のように振り返ります。

「クレジットカード情報は、各種の手配の際にお客様から電話、メール、FAXで知らせていただいています。法人様向けサービスの一環として、一度ご利用をいただいた方のカード情報は自社のシステムで保管していましたが、当時は明確なセキュリティ基準を設けていませんでした。2017年の夏頃にIATAからPCI DSSに準拠しなければクレジットカードでの発券ができなくなるという通知が届いた際には、一刻も早く対応しなければ大変なことになると社内で危機感が生まれ、対応委員会を設置して対応する事になりました」。

藤永 宏史
テック航空サービス株式会社
観光事業部長代行
開発企画室長代行
藤永 宏史氏

「パソコン、IT、セキュリティなどの知識が深くなくても、SAQの各要件に関する考え方に加えて、パソコンの設定レベルの手順があるため、手引きの通りに進めていけば自然とPCI DSSに準拠できてしまうことを実感しました」

導入経緯:初期コストだけで導入できるSAQ準拠パッケージを採用

PCI DSS準拠への対応を検討したテック航空サービスはまず、営業部、観光部、総務部、習志野支店の営業部、保険部のメンバーからなる検討委員会を設置します。そこでPCI DSS準拠のために必要な作業や書類を洗い出し、関連のセミナーに参加したり、インターネットで情報を収集したりしながら調査を進めました。その中でPCI DSSの審査員に審査を依頼するQSAではなく、自己問診によるSAQで対応することを決断します。

さらに検討を進める過程で同社のSAQタイプが「SAQ C-VT」であることを確認し、インターネット検索でヒットしたのが、NRIセキュアテクノロジーズ(以下、NRIセキュア)から2017年11月にリリースされた「SAQ準拠パッケージ(SAQC-VT版)」でした。同社 総務・業務・人事部 主任の安西教郎氏は選定の経緯を次のように説明します。

「当初はコンサルティングサービスの利用も検討し、複数の会社に声をかけていました。しかし、話を聞いてみると初期費用ばかりでなく、準拠後の運用費用もかかることがわかりました。外部のコンサルティングサービスに任せると、審査をパスするための一過性の活動になってしまうことが懸念されます。その中で、初期費用だけで対応できるNRIセキュアのSAQ準拠パッケージの存在を知り、コストメリットを考慮して採用を決めました」。

SAQ準拠パッケージは、NRIセキュアの多くのコンサルティング実績をベースに必要な対応を手引き(説明書)として整備し、SAQで求められる対策基準と、書類のフォーマット集を一括で提供するものです。これを用いることでPCI DSS審査員の支援を通すことなく自社でSAQの作成が行えるようになります。

「SAQ準拠パッケージの採用に当たっては、PCI DSS準拠に必要な規定がすべて揃い、それを基準に当社のセキュリティポリシーが設定できることにメリットを感じました。運用規定が誰でも理解できるわかりやすい言葉で書かれていたこと、NRIセキュアがPCI DSSの準拠を審査するQSA(評価機関)であり、審査員の数が国内最大級であること、具体的な移行支援で培ったノウハウがあることも評価の基準になりました」(安西氏)。

安西 教郎
テック航空サービス株式会社
総務・業務・人事部 主任
安西 教郎 氏

「当初は、コンサルティングサービスの利用も検討しましたが、初期費用ばかりでなく、準拠後の運用費用も多くかかることがわかりました。その中で、初期費用だけで対応できるSAQ準拠パッケージの存在を知り、コストメリットの高さを考慮して採用を決めました」

システムの構成イメージ

導入効果:わかりやすい手引きなどにより迷うことなくSAQ対応を実現

SAQ準拠パッケージを採用して急ピッチで作業を進めた結果、テック航空サービスは2018年2月28日付でPCI DSSの準拠に対応しました。導入して実感したのは、パッケージのわかりやすさだったといいます。

「ひとことでいうなら、パソコンやIT、セキュリティ対策機能のファイアウォールなどの知識がなくても対応できる、簡単なマニュアルだということです。SAQの各要件に関するマニュアルや、パソコンの設定レベルで対応できる手順書があるため、手引きの通りに進めていけば自然とPCI DSSに準拠できてしまうことを感じました。導入時はNRIセキュアのサポートも受けることなく、自社で対応しています」(藤永氏)。

SAQでは最後に役員の署名が求められるため、記載内容の妥当性を担当者が役員へ説明できるレベルまで勉強を積み重ねなければなりません。その点についても、必要な事項がすべて網羅されているパッケージを採用したことで必要な知識を短時間に学ぶことができ、役員への説明も自信を持って対応ができたとしています。

同社がPCI DSSの準拠をスムーズに対応できたポイントとして、初期の段階で検討委員会を設けて事前の調査や学習を念入りに進めたことも見逃せません。

「自己問診によるSAQでの対応を決めた際、当社の業務がSAQのどのタイプに該当するのかを考えるところから始まりました。検討委員会で勉強と議論を重ねた結果、SAQ C-VTに該当することがわかりましたが、個人的にはそこまでたどり着くのが最も難しく時間がかかった部分です」(安西氏)。

今後の展望:社内でルールやノウハウを共有し自社での安定運用を継続

現在はPCI DSSの準拠を終えたばかりですが、今後も自社で継続的に運用を続けていく方針です。藤永氏は「自社での運用は担当者の異動・退職による引継ぎが問題です。その点についても、PCI DSSの要件に関して必要な方法が書かれているSAQ準拠パッケージなら容易に対応できると考えています」と話しています。

ビジネス面では、PCI DSSへの準拠を社外に対して積極的にアピールしていく考えで、安西氏は「PCI DSS準拠を当社の強みとしながら、より安全で安心なサービスや旅行商品をお客様に提供、販売していきます」と展望を語ります。

PCI DSSへの準拠は「信頼される旅のよきパートナーとして」を企業理念に掲げるテック航空サービスにおいて大きな意味を持ち、ビジネスの発展に重要な役割を果たしていくことになりそうです。

会社概要

テック航空サービス株式会社

海外へのビジネス渡航を取り扱う旅行会社として、東洋エンジニアリング株式会社の全額出資により1973年に設立。現在は、企業の出張者に代わり、航空券からビザの手配、ホテルや移動手段の手配など、出発前に必要な手続きを代行する「業務渡航」を主力業務としている。また、個人向けの観光旅行のモルディブ専門店として約30年近くの実績を持ち、モルディブ向けのグルーピングツアーや、フィジー、タヒチ、東南アジア、カナダ方面のツアーも手がける。

http://www.tec-air.co.jp/

※本文中の組織名、職名、概要図は公開当時のものです。(2018年)