大日本印刷、PCI　DSS準拠支援コンサルティングサービスを本格展開

PCI　DSS準拠支援コンサルティングサービスを本格展開


　大日本印刷株式会社（本社：東京　社長：北島義俊　資本金：１，１４４億円　以下：DNP）は、企業が自社のセキュリティ体制を、クレジット業界における国際的なセキュリティ基準であるPCI　DSS（※１）に準拠させる際の支援を行うコンサルティングサービスを本格展開します。


【PCI　DSS準拠支援コンサルティングサービス提供開始の背景】
○日本クレジット協会の指針への対応
　日本クレジット協会は、２０１６年２月に発表した「クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画」で、国内のクレジットカード情報管理の基準をPCI　DSSとしています。また、クレジット情報を取扱う業界各社に対して、PCI　DSS準拠を前提とした情報セキュリティ管理体制を整備するように求めています。このため、自社の管理体制の中でPCI　DSSに既に準拠している部分と、現時点での未準拠の部分を把握して、全てを準拠させるために必要な施策などについて外部の専門家に意見を求める企業が増えています。

○クラウドサービス他BPO受託事業者のニーズ増に対応
　クレジットカードを発行する事業者が、クラウドサービス事業者等にクレジットカード情報の取り扱いを外部委託する場合は、その外部委託事業者にもPCI　DSS準拠が求められます。PCI　DSS準拠は、こうしたBPO受託事業者の事業拡大に必要不可欠となるため、PCI　DSS準拠を目指す企業の需要増が見込まれます。

○インバウンド等今後の普及期に対応
　近年、海外からの訪日旅行者が増加しており、国内企業はインバウンド対応のサービス開発を加速させています。これまで以上に、サイバー犯罪などの標的となる可能性も高まるため、今後、より高度なセキュリティ体制を構築したいという気運が高まると予想されます。

○クレジット業界以外のニーズ増に対応
　PCI　DSSは、情報セキュリティ施策について具体的な数値基準を示しています。このため、クレジットカード番号を機密情報や個人情報等に置き換えることにより、社内の情報セキュリティ基準としてPCI　DSSを利用することができます。このことから、製造業などクレジットカード業界以外でもPCI　DSSを社内のセキュリティ基準として取り入れる企業が増えてきており、今後もコンサルティングの需要増が見込まれます。


【DNPとPCI　DSS】
　DNPは２００８年に、国内の印刷会社としてはじめてPCI　DSSの認定を取得しました。以降、PCI　DSSに関する内部監査や専門家としての資格を有する者を社内に確保し、PCI　DSSに関するノウハウを蓄積してきました。また、クレジットカード国際ブランドの認定工場として、PCI　DSSより厳しいPCIカード製造基準の監査を継続的に受けてきました。さらに本年１月には、DNP柏データセンターで運用するクラウド基盤サービス「MediaGalaxy（メディアギャラクシー）クラウド」で、PCI　DSSの最新バージョンであるVersion　３．１の認証を取得しています。

　今回DNPは、こうしたPCI　DSSに関するノウハウや経験を活用してPCI　DSS準拠支援コンサルティングサービスを提供します。


【PCI　DSS準拠支援コンサルティングサービスの概要】
　企業のニーズに応じて、次の４つのフェーズでコンサルティングサービスを提供します。

１．PCI　DSS乖離分析（PCI　DSS準拠対応開始時）
　PCI　DSS準拠対象範囲とPCI　DSS各項目の要求に準拠できていない項目を可視化し、PCI　DSS準拠認定のために必要な課題を抽出します。

２．継続的な準拠支援（PCI　DSS準拠対応推進期〜QSA（※２）によるオンサイト評価（※３）直前期）
　企業が運用のルール化、プロセスの適正化及びシステム改善を行うにあたってのアドバイス、Q＆A対応等を行います。

３．フォローアップ（QSAによるオンサイト評価時）
　QSAの訪問インタビューや視察時の同席およびQ＆A対応等を行います。

４．PCI　DSS維持フォローアップ（PCI　DSS準拠後）
　定期的なフォローアップ、PCI　DSSがバージョンアップされた時の最新の情報提供等を行います。

　フェーズ１の費用は規模によって変動しますが、１つの業務、１箇所の業務拠点、１つのデータセンターの場合で、５００万円程度を予定しています。フェーズ２以後は、月次毎の継続契約となります。


【今後の取り組み】
　DNPは、PCI　DSS準拠支援コンサルティングと、その結果必要となったセキュリティ強化ソリューションの提供等も合わせ、２０１８年度までの３年間で約１０億円の売上を目指します。


　※１　PCI　DSS（Payment　Card　Industry　Data　Security　Standards）：国際クレジットカードブランド５社によって設立されたPCISSC（PCI　Security　Standards　Council）が、カード発行会社や加盟店等に対し、カード会員情報の保護や安全な取引の実現を目的として、策定したセキュリティの業界基準。以下のような項目に対する具体的な管理方法や運用などが規定されています。
　　・安全なネットワークとシステムの構築と維持
　　・強力なアクセス制御手法の導入
　　・カード会員データの保護
　　・ネットワークの定期的な監視およびテスト
　　・脆弱性管理プログラムの維持
　　・情報セキュリティポリシーの維持

　※２　QSA（Qualified　Security　Assessor）：PCI　SSC認定のセキュリティ評価者の略称。

　※３　オンサイト評価：年間一定件数以上のクレジットカード取扱事業者、サービスプロバイダーはQSAの訪問評価が必要となる。