健康美容商品等を販売する総合サイト「北の快適工房」で、『カイテキオリゴ』『ヒアロディープパッチ』をはじめとした32 商品(2021年2 月末現在)を取り扱う北の達人コーポレーション。同社の人事総務部 事業推進部長 兼 台湾支社長 川森 さや香氏に、PCI DSS 準拠を促進するクラウドサービス「PCI DSS Ready Cloud AWS モデル」、「マネージド・サービス」、「PCI DSS 準拠支援コンサルティング」の導入のきっかけや導入後の効果などについてお聞きしました。
健康美容商品等を販売する総合サイト「北の快適工房」で、『カイテキオリゴ』『ヒアロディープパッチ』をはじめとした32 商品(2021年2 月末現在)を取り扱う北の達人コーポレーション。同社の人事総務部 事業推進部長 兼 台湾支社長 川森 さや香氏に、PCI DSS 準拠を促進するクラウドサービス「PCI DSS Ready Cloud AWS モデル」、「マネージド・サービス」、「PCI DSS 準拠支援コンサルティング」の導入のきっかけや導入後の効果などについてお聞きしました。
「北の快適工房」(https://www.kaitekikobo.jp/)というオリジナルブランドで高品質の化粧品を開発・販売する東証一部上場企業です。化粧品、健康食品の自社オリジナルブランド「北の快適工房」をインターネット上で販売。優れた技術を持つ複数のOEM 企業と提携して商品を製造しています。マーケット調査、製品企画・開発、プロモーション、受注業務、カスタマーサポート、システム開発などを一気通貫、自社で行っていることが特徴です。
「カイテキオリゴ」、「ヒアロディープパッチ」をはじめとした32 商品(2021 年2 月末現在)など、健康美容商品等を販売する総合サイト「北の快適工房」に関連するシステム対し、PCI DSS Ready Cloud AWS モデルとマネージド・サービスPCI DSS 準拠支援コンサルティングを利用しています。
私達の大事なお客さまのさまざまな情報(今回の場合はクレジットカード情報)、その情報を決済代行事業者にすべてお預けしている状況は、ややリスクがあるのではと感じていました。決済代行事業者にお預けする一方で、自社でも大事なお客さま情報を適切なセキュリティ対策の下に管理したほうが良いだろうという考えです。
社内担当者が調査したところ、自社でクレジットカード情報を持つためにPCI DSS(クレジットカード情報および取り引き情報を保護するために2004 年12 月、JCB・American Express・Discover・マスターカード・VISA の国際ペイメントブランド 5 社が共同で策定した、クレジット業界におけるグローバルセキュリティ基準)に準拠する必要があること、そしてその準拠には相当なコストをかけないと準拠は困難であると報告がありました。しかもコストは数千万円から 1 億円近くかかる情報が掲載されていました。
そこで、PCI DSS 準拠について詳細に調べました。ネットに掲載されている情報だけでなく、知見のある方に相談したり、網羅的に見たりと、業務に必要な知識を深めていきました。
同時に、PCI DSS 準拠の構築・運用方法を調査しました。自社構築の他にシステムインテグレーターに相談しながら進める方法がありましたが、日本語のドキュメントがとても少なく、PCI DSS 専門事業者でないと難しいと判断しました。
コールセンターシステムのBIZTEL でお付き合いもあった、おそらく日本でも数少ないPCI DSS 専門事業者であるリンク社に相談しました。PCI DSS に関して事前にさまざまな質問・疑問を問い合わせさせていただき、リンク社の回答はノウハウや経験から、私達が想定していたコストで収まる可能性があることが分かってきました。
EC サイト事業者の漏えい事故の詳細を伺うと、コストをかけてでもリスクを低減する必要があると感じました。クレジットカード情報の漏えいが発生すると、原因を明らかにし対策が終わるまではクレジットカードによる支払手段を提供できません。そのような漏えい事故は大小規模がありますが、さまざまなEC サイト事業者で発生していたのです。
それは、数ヶ月に渡り売上に大きな影響がでる可能性があるということです。想定内のコストに抑えられる目処もついたため、カード情報の適切な管理、すなわちPCI DSS 準拠をしたほうが良いという判断をしました。
オンプレミス型はとても投資がかさむことや規格に沿った保守・運用管理も簡単ではありません。また、最適なセキュリティツールを選定するのも調査、検証の時間が必要でした。
その点、リンク社は準拠に必要なセキュリティ機能がパッケージ化されたサービスを用意していたため、そのサービスを活用すれば、PCI DSS 準拠が最短で実現できます。しかもコストもリーズナブルで、AWS を利用した準拠実績が多数あったため、リンク社のサービス利用を決断しました。
コンサルティング担当者から、非常に多くのことを学びました。行うべきセキュリティ対策とその根拠が明確です。リスクとコストを抑えながら的確に対策を打つ、本当にコンサルタントに助けていただいたと思います。
私自身は技術者ではありませんが、プロジェクトマネージャーとともに、いかにコストを削減するか、スコープの範囲を狭くするか、運用方法をシンプルにできるかを考え抜いて実行できたのは、本当によかったと思います。
今回、PCI DSS の運用に必要な定形、非定形作業を委託できるマネージド・サービスも利用しています。PCI DSS に精通したエンジニアにアウトソースすることで、より効率的な運用体制が構築できたと思います。
マネジメントメンバーの一人として、常に最悪のケースを想定する必要があると思いますが、万一クレジットカード情報の漏えいの可能性があった場合もしっかりとトラッキングできる状態になった点は、非常に良かったと思います。
PCI DSS 最新バージョンとなる4.0 が、今後リリースされる予定と聞いています。当社も規格に追従することになると思うので、最新情報や対策などの情報をいただけると助かります。
今後は、このような高いセキュリティ対策を行い、安全に運用していることが、より多くのEC サイト利用者にも伝わるようになれば良いなと思います。
取材日:2021年2月 所属、業務内容、写真、インタビュー内容は取材当時のものです。
社名 | 株式会社 北の達人コーポレーション |
---|---|
設立 | 2002 年5 月(創立2000 年5 月) |
代表者 | 代表取締役社長 木下 勝寿 |
本社所在地 | 北海道札幌市中央区北一条西一丁目6番地 さっぽろ創世スクエア25 階 |
事業内容 | 健康食品、化粧品、雑貨の企画・開発・製造販売・インターネット通信販売事業 |
U R L | https://www.kitanotatsujin.com/ |
「北の快適工房」というオリジナルブランドで高品質の化粧品を開発・販売する東証一部上場企業です。化粧品、健康食品の自社オリジナルブランド「北の快適工房」をインターネット上で販売。優れた技術を持つ複数のOEM 企業と提携して商品を製造しています。マーケット調査、製品企画・開発、プロモーション、受注業務、カスタマーサポート、システム開発などを一気通貫、自社で行っていることが特徴です。