事例紹介:PCI DSS準拠
山口証券印刷株式会社

カード業界セキュリティ基準
PCI DSS 準拠

山口証券印刷株式会社様

授与式写真
▲ 2015年3月23日 (月)に行われたPCI DSS準拠 認証授与式において写真左:山口証券印刷株式会社 代表取締役社長 山口 明義 様写真右:BSIグループジャパン株式会社 代表取締役社長 竹尾 直章

 

BSI ジャパンは、山口証券印刷株式会社にPCI DSS (ペイメントカード業界データセキュリティ基準)を認証しました。
山口証券印刷株式会社は、創業94 年、ギフトカードや乗車券・IC カード、その他有価証券などの製造を主に事業を展開する企業です。
カード情報の印刷も行うことから、通信経路のセキュリティの一層の強化のため、PCI DSS 準拠の第三者認証を取得しました。
今回は認証の授与に際してPCI DSS の準拠に至った背景や目的、今後の展望などについてお伺いしました。

 

  1. PCI DSS の準拠に至った背景やきっかけ、目的をお聞かせ下さい。

    創業時から乗車券などの有価証券の製造を主力商品としておりましたが、近年成長しているPOS アクティベーションカード等のギフトカード市場においても、初期から携わっている製造のパイオニアです。これらのカードの製造においては、PIN(PersonalIdentification Number:暗証番号)を取り扱う業務が多く発生し、通信経路の安全性強化と担保が必要に迫られている状況でしたが、多くのセキュリティ対策を実施していたものの、外部の認証機関からの評価は取得しておりませんでした。さらに最近になりPAN(Primary Account Number: カード会員番号)も取り扱うニーズが生じ、これらの背景により、社内のデータ入稿入口から営業、制作、工場、配送までのセキュリティ体制の強化は必須と考えPCIDSS 準拠に取り組みました。(常務取締役 福岡 敬司 様)

     
  2. 取組みで工夫した点、取組みの特徴などがございましたらお聞かせください。

    PCI DSS の要求事項は総数約300 項目にのぼり、1つ1つが独立したものではなく密接に関連しあっています。従って、作成する書類に関しても、1つの取り決めが変わると複数の書類 を変更する必要があり、矛盾や抜けがないよう最新の注意を払いました。
    具体的には、コンサル会社の方々と協力しながら週1 回の定例ミーティングはもちろん、社内メンバーで多いときには週2-3回と頻繁に打合せを行い整合性のとれた書類を作成し審査に臨みました。
    また、限定されたメンバー間でのみ話が進んでしまいその他の社員は内容を把握しないまま運用されてしまうといった事にならないよう、毎週月曜日の朝礼で社長によるPCI DSS の内容説明や、営業、工場への部署単位での説明を認証取得前に行い、全社員へセキュリティに対する意識づけを行いました。(営業部 村松勇人 様)

    左より常務取締役 福岡 敬司様、代表取締役社長 山口 明義 様、常務取締役 山口 誉夫様
    ▲左より常務取締役 福岡 敬司様、代表取締役社長 山口 明義 様、常務取締役 山口誉夫様

     
  3. 取組みを行ったことによる成果・利点は何でしょうか?

    セキュリティレベルが向上したのは当然ですが、これまで曖昧だったセンシティブデータの取扱いルールが明確化され、それにより作業がスムーズになったと感じています。
    また、点々としていたセキュリティエリアを可能な限りまとめられた事、ロール管理表を作成して権限を明確化する事により社員の誰が見ても一目で理解できるようになった事は非常に大きな成果でした。
    会社全体でセキュリティへの認識レベルが高まり、スキルがレベルアップしている事も成果としてあります。(常務取締役 山口 誉夫 様)

    東急東横線、東京メトロ副都心線相互直通運転記念乗車券
    ▲東急東横線、東京メトロ副都心線相互直通運転記念乗車券

     
  4. 今後の展開と目標をお聞かせください。

    社内的には今回の認証取得で得た知識、ノウハウを活かし継続的にセキュアな環境を保持できるよう情報セキュリティメンバーを主軸とし全社員で取り組んでいきます。
    今回新たに構築したシステムを運用していく上で策定したルールを継続的に遵守していくことは大変だとは思いますが、社員にとってなるべく業務に支障がでないような体制、ルール作りを心がけていきます。
    今回は半年程の期間をかけて準備をし、その間社内ミーティングも頻繁に実施してきたので、多くの社員がかなりの部分を理解しているとは思いますが、いざ運用が始まると色々な問題点が出てくると思います。都度委員会を開くなど適切に対応するとともに、ルール遵守を一人一人が心がけるよう、きっちり指導していきたいと思います。(常務取締役 山口 誉夫 様)

    対外的には、有価証券印刷事業におけるPCIDSS 準拠という事実が、製品の信頼性と安全性をPR する材料になり、より一層お客様からの信用をいただけるようになる事、さらには新たなお客様との取引も期待しています。またギフトカード事業では、今後拡大すると思われるPAN を取り込んだギフトカードのビジネスにおいて大きな武器になると期待しています。 ( 常務取締役 福岡敬司 様)

  5. BSI を審査機関としてお選びいただいた理由と経緯についてお聞かせください。

    当初は数社検討しておりましたが、BSI が国内で高い実績を持つ事に加え、弊社は海外からお客様がお見えになることもあり、国際的に知名度の高いBSI に任せれば間違いがないだろうと考えました。
    他社の見積との比較も行いましたが、妥当な価格であると判断しました。一つ付け加えると、多くの件数を取り扱っているだけあって、営業の方々の知識が豊富で、とても親身に対応して頂いた事も理由の一つです。(常務取締役 福岡 敬司 様)

  6. BSI の審査はいかがでしたでしょうか。

    正直なところ、「審査」という事で審査初日は緊張しておりましたが、審査員の方がとても人柄の良い方で、1つ1つの要求事項に対して丁寧にわかりやすく説明頂いたので、我々の緊張も解けて内容を改めて理解しながら審査を進める事ができました。製造業の知識もあり、弊社の製造現場を理解するのが早かったため、スムーズにやり取りができました。(常務取締役 山口 誉夫 様)

    手前左より常務取締役 福岡 敬司様、代表取締役社長 山口 明義 様、常務取締役 山口 誉夫様 奥側 左より営業部 村松 勇人様、岩垂 秀考 様、インセンクス事業部 久島 道大様
    ▲手前左より常務取締役 福岡 敬司様、代表取締役社長 山口 明義 様、常務取締役山口 誉夫様
    奥側左より営業部 村松 勇人様、岩垂 秀考 様、インセンクス事業部 久島 道大様

  7. 今後、審査機関(BSI)に期待することを最後にお聞かせください。

    今回の取り組みでできた仕組みが100% だとは考えずに、今後の変化に対応できるよう社内で随時改革を進めていきたいと考えていますが、1年後にまた審査を受けるので、その際にまたご指摘をいただきたいです。
    BSI さんとはパートナーとしてお付き合いさせていただき、今後もご支援をいただければと期待しています。(代表取締役 山口 明義 様)

本日はどうもありがとうございました。

PCI DSS(ペイメントカード業界データセキュリティ基準)は、カードの加盟店、サービスプロバイダ(カード業務に関する業務を代行するデータ処理業者)向けのセキュリティ基準です。
カードビジネス関連業者向けのカード会員情報及び取引情報を保護するためのセキュリティ基準で、カード会員情報の保護及び取引情報保護を目的としています。

これからもBSI は、お客様をより一層サポートさせていただけるよう、サービスの充実に尽力してまいります。

山口証券印刷株式会社について 

創業94年、ギフトカードや乗車券・ICカード、その他有価証券などの製造を主に事業を展開しています。詳細は下記URLをご覧ください。

URL: http://www.yamaguchi-card.com/