PCI DSS準拠支援コンサルティングサービスを本格展開

大日本印刷株式会社（本社:東京　社長:北島義俊　資本金:1,144億円　以下:DNP）は、企業が自社のセキュリティ体制を、クレジット業界における国際的なセキュリティ基準であるPCIDSS^※1に準拠させる際の支援を行うコンサルティングサービスを本格展開します。

【PCI DSS準拠支援コンサルティングサービス提供開始の背景】

○ 日本クレジット協会の指針への対応

日本クレジット協会は、2016年2月に発表した「クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画」で、国内のクレジットカード情報管理の基準をPCIDSSとしています。また、クレジット情報を取扱う業界各社に対して、PCI DSS準拠を前提とした情報セキュリティ管理体制を整備するように求めています。このため、自社の管理体制の中でPCIDSSに既に準拠している部分と、現時点での未準拠の部分を把握して、全てを準拠させるために必要な施策などについて外部の専門家に意見を求める企業が増えています。

○ クラウドサービス他BPO受託事業者のニーズ増に対応

クレジットカードを発行する事業者が、クラウドサービス事業者等にクレジットカード情報の取り扱いを外部委託する場合は、その外部委託事業者にもPCIDSS準拠が求められます。PCI DSS準拠は、こうしたBPO受託事業者の事業拡大に必要不可欠となるため、PCIDSS準拠を目指す企業の需要増が見込まれます。

○ インバウンド等今後の普及期に対応

近年、海外からの訪日旅行者が増加しており、国内企業はインバウンド対応のサービス開発を加速させています。これまで以上に、サイバー犯罪などの標的となる可能性も高まるため、今後、より高度なセキュリティ体制を構築したいという気運が高まると予想されます。

○ クレジット業界以外のニーズ増に対応

PCI DSSは、情報セキュリティ施策について具体的な数値基準を示しています。このため、クレジットカード番号を機密情報や個人情報等に置き換えることにより、社内の情報セキュリティ基準としてPCIDSSを利用することができます。このことから、製造業などクレジットカード業界以外でもPCIDSSを社内のセキュリティ基準として取り入れる企業が増えてきており、今後もコンサルティングの需要増が見込まれます。

【DNPとPCI DSS】

DNPは2008年に、国内の印刷会社としてはじめてPCI DSSの認定を取得しました。以降、PCIDSSに関する内部監査や専門家としての資格を有する者を社内に確保し、PCI DSSに関するノウハウを蓄積してきました。また、クレジットカード国際ブランドの認定工場として、PCIDSSより厳しいPCIカード製造基準の監査を継続的に受けてきました。さらに本年1月には、DNP柏データセンターで運用するクラウド基盤サービス「MediaGalaxy（メディアギャラクシー）クラウド」で、PCIDSSの最新バージョンであるVersion 3.1の認証を取得しています。

今回DNPは、こうしたPCI DSSに関するノウハウや経験を活用してPCI DSS準拠支援コンサルティングサービスを提供します。

【PCI DSS準拠支援コンサルティングサービスの概要】

企業のニーズに応じて、次の4つのフェーズでコンサルティングサービスを提供します。

1. PCI DSS乖離分析（PCI DSS準拠対応開始時）

PCI DSS準拠対象範囲とPCI DSS各項目の要求に準拠できていない項目を可視化し、PCIDSS準拠認定のために必要な課題を抽出します。

2. 継続的な準拠支援（PCI DSS準拠対応推進期～QSA^※2によるオンサイト評価^※3直前期）

企業が運用のルール化、プロセスの適正化及びシステム改善を行うにあたってのアドバイス、Q&A対応等を行います。

3. フォローアップ（QSAによるオンサイト評価時）

QSAの訪問インタビューや視察時の同席およびQ&A対応等を行います。

4. PCI DSS維持フォローアップ（PCI DSS準拠後）

定期的なフォローアップ、PCI DSSがバージョンアップされた時の最新の情報提供等を行います。

フェーズ１の費用は規模によって変動しますが、1つの業務、1箇所の業務拠点、1つのデータセンターの場合で、500万円程度を予定しています。フェーズ2以後は、月次毎の継続契約となります。

【今後の取り組み】

DNPは、PCI DSS準拠支援コンサルティングと、その結果必要となったセキュリティ強化ソリューションの提供等も合わせ、2018年度までの3年間で約10億円の売上を目指します。

※1　PCI DSS　（Payment Card Industry Data Security Standards） ： 国際クレジットカードブランド５社によって設立されたPCISSC（PCI Security Standards Council）が、カード発行会社や加盟店等に対し、カード会員情報の保護や安全な取引の実現を目的として、策定したセキュリティの業界基準。以下のような項目に対する具体的な管理方法や運用などが規定されています。

・ 安全なネットワークとシステムの構築と維持 　　・ 強力なアクセス制御手法の導入

・ カード会員データの保護       　　　　　　　　　・ネットワークの定期的な監視およびテスト

・ 脆弱性管理プログラムの維持   　　　　　　　　　・ 情報セキュリティポリシーの維持

※2　QSA（Qualified Security Assessor） ： PCI SSC認定のセキュリティ評価者の略称。

※3　オンサイト評価 ： 年間一定件数以上のクレジットカード取扱事業者、サービスプロバイダーはQSAの訪問評価が必要となる。

※ニュースリリースに記載された製品の価格、仕様、サービス内容などは発表日現在のものです。その後予告なしに変更する場合がありますので、あらかじめご了承下さい。