導入事例

株式会社北の達人コーポレーション様

いつまでに何をやるかをタイムリーに知らせていただけるので、初回準拠の直後から複雑なPCI DSS運用を抜けや漏れなく行えました。

「株式会社北の達人コーポレーション様」のイメージ画像

  • 株式会社北の達人コーポレーション 人事総務部 事業推進部長 兼 台湾支社長川森 さや香 氏

導入事例のポイント

  • お客様のカード情報を自社で確実に管理するためPCI DSS準拠を決断

  • 準拠後の定期運用をきちんと実施するためにオンクラウドレビューを導入

  • コンサルタントによる日々の確認で1年目から抜け漏れのない運用を実現

北の達人コーポレーション様の事業の概要

「びっくりするほど良い商品ができた時だけ販売する」というルールで、本当にご満足いただけるプロダクトだけを厳選したオリジナルブランド「北の快適工房」で、高品質な化粧品や健康食品を開発・販売しています。流行に左右されない、お客さまに満足いただける品質の商品だけをご提供し続けた結果、売上のおよそ7割が定期購入によるものとなっています。メインの販路である自社サイト「北の快適工房」の売上の内、クレジットカード決済の占める割合は約5割に達しています。

お客様の大切な情報は自社で管理すべきという考え

以前は、カード情報保護対策として、お客様のカード情報は決済代行事業者に預けて自社サイトではカード情報を保存していませんでした。しかし一方で、「その決済代行事業者に何かあれば、半数のお客様の決済が止まってしまう可能性がある」ということのリスクを考えるようになりました。

定期購入をご利用いただいているお客様の決済は、決済代行事業者に預けているカード情報を利用して行なっています。決済代行事業者を変えることになればカード情報をお客様から再度いただく必要があり、大変なご不便をかけることになってしまいます。何かあった時にお客様にご迷惑をかけずに自社のビジネスを継続するためにも、カード情報を自社でも保存し管理することを検討し始めました。

ちょうどその頃、同業他社のECサイトで大規模なカード情報流出事件が発生しました。決済代行事業者に預けていたにもかかわらず、カード情報がなぜ流出したのか。原因が究明されるまでの間、数ヶ月間に渡ってECサイトを停止する措置が取られているのを見て、自社で同じことが起きたら壊滅的な被害が免れないことを実感しました。適切なセキュリティ対策を行った上で万一の時には何が起きたのかを迅速に調べられるよう、PCI DSSに準拠して自社でカード情報を管理することを決めたのです。

北の快適工房モットー

PCI DSSを意識し続ける状況に慣れられるのか、不安なスタート

準拠にかかるコストやカード情報流出のリスクを勘案して、PCI DSS対象範囲は「北の快適工房」ウェブサイトおよび関連システムとしました。大変だったのは、システムの構成や運用のルールをPCI DSSの要件に合わせて見直すことでした。fjコンサルティングのコンサルティング支援を受けて自己問診票(SAQ)を完成し、2020年12月に準拠を完了した時には、「これで万一情報流出などの可能性を指摘された場合も、自社で責任をもって対応できる」と安心しました。同時に、システムの開発にも運用にも常に「PCI DSSに準拠できているか」を意識し続けることができるかどうかに不安を感じていました。

準拠に向け初回運用や文書の整備を進めていた2020年の4月頃に、fjコンサルティングから「オンクラウドレビュー」による運用支援を提案されました。PCI DSSでは、日次、週次、月次、四半期ごと、半期に一度、年次とサイクルの異なるさまざまな運用が要求されます。要件通りに正しく運用するためにはプロのサポートが必須だと考え、導入を決めました。

タイムリーなお知らせとチェックで抜け漏れ間違いのない運用を実現

運用開始の直後は、通常の業務スケジュールの中にきちんとPCI DSSの運用を組み込めておらず、担当者は常に運用タスクに追われていました。その状態でも、オンクラウドレビューでいつまでに何をやる必要があるかをタイムリーに知らせていただけるので、最初から抜けや漏れなく運用を行えました。理解不足で間違った運用をおこなった場合も、すぐに軌道修正してもらえる安心感がありました。半年が過ぎた頃から、運用のペースが掴めて楽になってきましたが、自社だけでここまで来ることは難しかったと思います。

PCI DSSの運用は4−5名の少人数で行なっています。万一誰かが欠けて運用のノウハウが途切れても、クラウドサービス上に保存された、これまでのやりとりや証跡とコンサルタントの支援により、的確な引き継ぎができると期待しています。PCI DSS運用以外にも、オンクラウドレビューを通して、プラットフォーム側の仕様変更や必要な更新の対応についての情報をいただけることがとても助かっています。

対象範囲の拡大やPCI DSS v4.0対応に向け支援を期待

最近は販路拡大のためにインフォマーシャル(テレビやラジオの通販広告)にも力を入れていますが、コールセンターがPCI DSS対象範囲外のため、電話で注文をいただくお客様はクレジットカード決済をご利用いただけません。今後はPCI DSS対象範囲を北の快適工房のウェブサイトから全社に広げることも検討したいと考えています。新規事業として現在はECモールを中心に販売している美容家電や電子タバコなどの新商材についても、将来はPCI DSSに準拠した自社サイトで販売できれば良いと思っています。

2022年3月にはPCI DSS v4.0が公開され、2024年3月までに移行が必要と聞いています。今後も準拠を維持するために、v4.0に対応するための文書やシステムの見直しに向け、早めに動いていきたいと考えています。fjコンサルティングには、PCI DSSのプロフェッショナルとして、引き続き支援を期待しています。


弊社関連サービスのご案内

他の導入事例

導入事例一覧