“データレイクを構築するプロジェクトにPCI DSS Ready Cloudを採用しました。プロジェクトは大変手離れが良く、リンクの技術者にぜひ感謝の旨、お伝えいただければと思います”

武井氏：大丸松坂屋百貨店の流通系カード会社として、VISAとマスターカードの国際ブランド付きでクレジットカードを発行しています。クレジットカードの決済事業に関連するファイナンス事業として、ローン・カードに付帯するリボ払い、分割支払いなども対象です。最近では生命保険・損害保険の事業にも力を入れています。

武井氏：執行役員兼システム業務企画本部の本部長です。システム企画部、コンタクトセンター、お客さまサービスセンター全体の統括責任者を担当しています。
義友氏：システム企画部の部長です。
岩森氏：システム企画部に所属しています。データレイクを構築するプロジェクトの責任者です。
※データレイクとは、すべての構造化データと非構造化データを一元的に保存可能な情報の格納庫のこと。さまざまなタイプの分析を可能とし、的確な意思決定に役立てることが可能な仕組み。

岩森氏：今回のシステムは、当社ではプリズムプロジェクトと呼んでいます。
データレイクを構築するプロジェクトとして、ＪＦＲカードのデータ統合基盤を作る取り組みです。
システム的には、会員データやクレジットカードの売上情報、保険関連など、当社で扱うすべてのデータを格納して、分析やマーケティングに生かすためのものです。
これまでデータを分析するシステムとしては、海外製の業務パッケージソフトを利用していました。サーバが老朽化しており、当初は、サーバリプレイスを考えていました。
ただ、データの重要性を考えるとAWSを用いてデータレイクを構築するほうがベストであると考え、プロジェクトへ発展させました。
当社で扱うデータはクレジットカード情報の取り扱いが伴うので、PCI DSS対応を避けて通れません。そこで、PCI DSSとAWSの双方に通じているパートナーが必要でした。

岩森氏：PCI DSS関連のウェビナーです。
AWSにデータ基盤を構築しようとする際、そのPCI DSSをどうクリアしていくか具体的に見えておらず、PCI DSS関連のセミナーやウェビナーに参加していました。
その時、当社のシステム関連会社である株式会社ＪＦＲ情報センター「JFRIC」のパートナーであるサーバーワークス社のPCI DSS関連のウェビナーに参加した際、リンク社がPCI DSS Ready Cloudを紹介されていたので、これだと思いお声掛けをさせていただきました。

岩森氏：関連会社であるJFRIC社とそのパートナーであるサーバーワークス社による対応が候補に挙がっていました。JFRIC社もPCI DSSに対応実績があるため、JFRIC社とサーバーワークス社と当社の3社でPCI DSS対応も実現できるのではないかと試みたこともありました。
ただ、PCI DSSのことは理解していても、具体的にAWSにどう実装するかとなると、この3社では答えが出ず、最終的に袋小路にはまり込んでしまいました。
別の国内ベンダーを探しましたが、PCI DSSについては理解していても、AWSでの実装ができないベンダーなどが多く、プロジェクトは難航していました。

その中で、PCI DSS、AWSの双方で実績がありノウハウがあるベンダーとしてリンク社を知りました。

岩森氏：前述のとおり、PCI DSSとAWSの両方対応できる国内ベンダーは数が少なく、選択肢は限られていました。その中で、当社の予算感に最もフィットするのがリンク社でした。
セミナーの中でサーバーワークス社とリンク社の間には関係性があると知っていたので、その点でも安心してお声掛けができました。
大手システムインテグレーターに頼むと、コストも膨大になります。信頼性も非常に大きいとは思いますが、当社の規模では予算感が合わなくなります。最終的な投資対効果を含めリンク社が必然の選択でした。

義友氏：これまで、JFRIC社がＪＦＲグループすべてのサーバをAWSに集約し、設定や監視ツールは当社が管理していました。ＪＦＲのAWSとしての基準があったので、JFRIC社とサーバーワークス社とスムーズに連携できるベンダーが望ましく、その条件で考えても選択肢はリンク社一択でした。

武井氏：このプロジェクトの経緯からお話します。我々はこれまで、お客さまの個人情報や取引内容など、すべてのデータを決済データを取り扱う外部委託先システムに預けることにより、高度なセキュリティが担保された状態で利用していました。本来、リンク社やJFRIC社を巻き込む必要はありません。

しかし、昨今、各事業会社がカード流通系や交通系などさまざまな取り組みにチャレンジしています。当社がいざチャレンジしようと思うと、外部にデータを預けているために、自由に抽出や分析することはハードルが高く、時間もコストもかかります。

一方、自社で、できるだけリーズナブルに自由度の高いデータ形式として保持すれば、新たな取り組みが可能です。
そのためにはデータを一元化して保管できる”器”、すなわちデータレイクが必要であり、その構築にはPCI DSS準拠が必須であるため、柔軟且つ比較的リーズナブルに提供していただけるリンク社に依頼しました。

岩森氏：プロジェクトの開始は2021年5〜6月です。AWS環境の構築はJFRIC社とサーバーワークス社に準備いただきました。当社は一部のコード改変や設定などを担当しており、AWS環境の中で、各BIツールやデータの前処理システムなどの準備を行いました。一通りデータのパイプラインを通して、データをビジュアライズするところまで対応していました。

リンク社の役割は、PCI DSSに準拠するにあたり、ログの取得や監視、あるいはセキュリティが担保された形でログインできるように準備をすることでした。また、AWS環境でPCI DSSを実現することについてさまざまなアドバイスをいただきました。

実際に、インフラを利用開始できたのは2021年8月ぐらいです。その後は、PCI DSSの監査をクリアするために設定漏れなどがないかを確認してきました。

今回の監査では新たにAWSのデータレイクがPCI DSS対象の環境として加わってきたので、重点的な確認ポイントになりました。QSAの監査などは現在、順次対応中です。

岩森氏：前述のとおり、リンク社はすでにAWSでPCI DSSに対応するためのノウハウが豊富にあります。当社はPCI DSSの大方針だけは出ていますが、それを具体的にAWS上で実現するにはどうしたらよいのかは暗中模索で何もわかりませんでした。
しかし、リンク社には、PCI DSS Ready Cloudというパッケージ化されたサービスがあります。質問をすると必ず明確な答えをいただけたので、どのタイミングで何をすればよいのか明確になり非常に安心できました。

また、導入当初の立ち上げサポートだけでなく、定例的なフォローアップがあり、毎回その場で課題を共有し、対応もしていただきました。サポートサイトも充実していますので、大変助かっています。

義友氏：PCI DSSは定期的にバージョンアップするため、都度要件をクリアしていく必要があります。数年前は手探りで手間もかかりましたが、今後バージョンアップして新たな対応を求められた際も、リンク社のソリューションに任せておけば、将来にわたってサポートしていただけるだろうと安心感があります。

武井氏：PCI DSSの要件は以前と比較すると、かなり厳しくなっています。内部スタッフだけでスクラッチから準拠するには、一般的な知識だけでは難しい場合があります。もちろん当社もコンサルタントにサポートしてもらっておりますが、今回のようなAWS環境上にPCI DSS準拠でとなると、プロフェッショナルによる援助が必要になります。

本プロジェクトで、リンク社には手取り足取りやっていただいて感謝しています。私自身は手足を動かすわけではないので細かいことを評価できる立場ではないですが、リンク社との対応の件で、部下から私へアラートがあがったことは一度もなかったです。

上司としては大変手離れが良くてありがたいです。目立ったインシデントやアクシデントがなかったからこそ、このような形で気持ちよくお話ができて嬉しいです。現場でやっていただいた技術の皆さまにも、ぜひその旨お伝えいただければと思います。

岩森氏：PCI DSSはセキュリティに関して日々ハードルが上がっていきます。次はバージョン4.0への対応が求められると思いますので、情報提供をこまめにいただけると大変助かります。

義友氏：ＪＦＲカードとしての成長戦略というのは明確に見えており、それが一番この会社にいて楽しめているところです。
具体的にはＪＦＲグループの決済・金融事業の中核を担う事業会社として、未だ実現できていないグループ全体のカード事業の集約を目指します。さらに、加盟店の獲得にも注力し、さらなるビジネスチャンスの獲得を目指します。
伸びしろが非常にあり、「どんどんやっていけばいいじゃない」という日々のモチベーションになっています。

その際、ＪＦＲカードのセキュリティが信頼されていることが一番強いです。PCI DSS準拠は当たり前のことかもしれませんが、そこが不安定だと、委託先にシステム提供をお願いし、外側だけＪＦＲカードに見えるようにすれば良いとなってしまいます。
PCI DSS準拠という当たり前に求められるセキュリティ対策で、絶対に事故を起こさないことを念頭に置きながら、グループの一つの大きな柱を担っていければと考えています。
あらゆる施策を実現するために一丁目一番地は「データの利活用」だと確信しています。

武井氏：当社とグループ各社の仕組みは原則分離・分散化しています。結果としてセキュリティも高まり、自由度もあがるので疎結合な状態で自分は決して悪いことではないと思っています。
ただ、一斉にデータを抽出して実装しようとした際、インタラクティブにできない、フォーマットも違えばデータコードも違う、では話になりません。

今回のデータレイク構築の取り組みにより、カード事業のOne to Oneマーケティング、マーケティングオートメーションが可能になります。今後、タンキングするデータレイクには、コールセンターの音声データ、外部から購入などするマーケティング関連データを入れるなど、“器”としての機能をより充実させていきます。

ぜひその知恵やアイデアをリンク社にはいただきたいです。我々は気付きがほしく、そのようなトータルでサポートしていただけるような、パートナーシップを築いていきたいと思っています。
取材日：2022年2月 所属、業務内容、写真、インタビュー内容は取材当時のものです。