“カード会社向け業務アプリケーションをマルチテナント型の月額課金モデルにできたことで経営の安定化を実現。また、サービスを利用するカード会社にとっても、高度化するPCI DSSへの対応コスト軽減を達成”

小澤氏： 当社は、金融機関に特化したシステムの企画・開発・販売を行っています。地方銀行・銀行系カード会社・信用保証会社・医師系信用組合などを顧客に持ち、業務分析を行った上でソリューションシステムの提案や銀行向け運用システムの受託開発を請け負っています。

キャッシュレス化が加速する世界において、クレジットカードの運用管理に関する内部の仕組みを開発するのが私達です。システム開発には、専門知識と金融機関の実務に精通していることが求められます。私達は金融機関のシステム開発に特化しているため、これまで培ったノウハウ・知識を最大限に活かし、使いやすく、よりお客様に満足していただけるソリューションシステムを提供しています。

小澤氏： 営業担当です。

小澤氏： 当社が提供する業務アプリケーションで取り扱うデータはPAN※が含まれることが多いため、PCI DSSの準拠が必須です。そのため、PCI DSSに準拠したクラウドサービス「PCI DSS Ready Cloud」を導入し、お客さまには業務アプリケーションをマルチテナント型（複数のお客さまが同じサーバやアプリケーション、データベースなどを共有して利用する仕組み）で提供しています。

■システム概要
対象のお客さま：カード会社さま
利用社数：12社
提供中の業務アプリケーション：名寄せ・債権管理・資産査定・入会管理・途上与信、等
含まれているサービス内容：
業務アプリケーション（カスタマイズ等別途）、PCI DSS準拠済クラウドサービス、運用代行　
アプリケーションのペネトレーションテスト AOC提示 等
※「PAN（プライマリアカウント番号）」：カード表面に印字された16桁（American Expressは15桁）のいわゆるカード番号。参考ブログ：PCI DSSにおけるカード情報の定義 https://pcireadycloud.com/blog/2018/07/31/2570/

小澤氏：業務アプリケーションを利用していただくにあたり、お客さまにはPCI DSSに準拠した環境を用意頂く必要がありました。

例えば、オンプレミスでPCI DSS環境を用意頂く場合、イニシャルコスト、ランニングコスト共に大きな負担になるだけでなく、PCI DSS準拠項目を満たすためにさまざまな作業も発生します。また、アプリケーションのペネトレーションテストやサーバの保守運用による負荷がお客さまに発生するなど、非常に大きな手間とコストがかかる点が課題でした。

お客さまのPCI DSS準拠にかかるコストや作業範囲を少しでも軽減したいと考えていたため、PCI DSS準拠に必要なインフラサービスを私達が予め用意し、業務アプリケーションとパッケージ化できないかと、検討を開始しました。

小澤氏：PCI DSS準拠支援コンサルタントから、リンクがサービス提供する「PCI DSS Ready Cloud」を紹介頂きました。また、PCI DSS Ready Cloudと同様のサービスをリサーチしましたが、唯一のサービスだったと思います。そのため、他社と比較検討することはありませんでしたね。

自社でPCI DSSに準拠したインフラを構築することも検討したのですが、サーバ等の機器トラブルにオンサイト対応が難しいことから、業務アプリケーションの提案に留め、サーバ、ネットワーク、保守等はリンクとの協業が不可欠と判断しました。

小澤氏：「PCI DSS Ready Cloud」であれば、契約いただいたカード会社さまに、PCI DSS準拠に必要なインフラがスピーディーに展開できる点です。

また、サービス開発を行っていた当時、弊社にもお客さまにもPCI DSSへの知見や経験がそれほど多くなく、どうあるべきか整理しきれていませんでした。その中で、貴社から具体的なアドバイスを頂けた点や一緒にビジネスを伸ばしていく視点でサービスの組み立てなど全面的にサポート頂けた点が大きな理由ですね。

加えて、金融機関のお客さまが多く、FISCについての対応状況も問われるケースがあります。PCI DSS Ready Cloudは、FISCも対応済みだった事も大きかったですね。

※FISC安全対策基準：正式名を「金融機関等コンピュータシステムの安全対策基準・解説書」と言い、金融システムの導入や運用に関するガイドラインのこと。

小澤氏：解決できました。同時に、他社との差別化が実現したと考えています。

アプリケーション利用による業務改善とPCI DSSに準拠したインフラサービスをパッケージで提案できるようになったことで、お客さまにおいても、高度化するPCI DSSへの対応やOWASPへのシステム対応コストが軽減、平準化を併せて支援できるようになったと考えています。

また、月額課金モデルにできたことで、弊社の経営の安定化やエンジニアリソースの最適化が図られました。

小澤氏：コンテンツが豊富なサポートサイトの提供と専任の技術担当のアサイン、24時間の対応窓口を提供されていたことを高く評価しています。それ以外にも、イレギュラーな技術要求に対しても柔軟に回答をいただけた点も助かりましたね。

小澤氏：PCI DSS v4.0対応にあたって、PCI DSS準拠・運用費用、工数がどんどん上がっていると思います。バージョン4.0になって、もう自社での対応は困難だということで声掛けをいただくことが多いですね。

小澤氏：お客さまの中には、PCI DSSにかかるコストの削減のために、本来業務で必要なPANをやむを得ず削除したり、代替コントロールを採用するなどの対応で、「高い業務負荷」「計画外のシステム対応コスト」が発生していたりするケースが見受けられます。そういった課題に振り回されているお客さまに向けて、PCI DSS準拠・運用まで含めた業務アプリケーションサービスでお手伝いできればと考えております。

また、リンクと共同でリーズナブルなファイルサーバサービス提供を検討しています。作業効率化やエンジニアの教育等と共に、共同マーケティングも相談させていただきたいと考えています。今後もどうぞ宜しくお願いいたします。
取材日：2023年12月 所属、業務内容、写真、インタビュー内容は取材当時のものです。