~ セブン&アイグループのオムニチャネル実現へ向けた取組み ~
BSIグループジャパン株式会社(東京都港区 代表取締役社長 竹尾 直章、以下 BSIジャパン)は、 株式会社セブン&アイ・ネットメディア(東京都千代田区 代表取締役社長 鈴木 康弘)にPCI DSS*(カード業界データセキュリティ基準)を認証しました。 (監査完了日:2014年8月29日、認証登録日:2014年9月12日)
株式会社セブン&アイ・ネットメディアは、セブン&アイのグループ会社として、ネット通販事業、メディア事業などを中心に事業を展開し、また世界的にも大規模な試みとなるグループ全体のオムニチャネルの構築においてその戦略推進を担っています。
“オムニチャネルにおいて顧客が安心して買い物するためには、商品の安全も決済の安全も両方確保しなければいけない”という方針から、カード情報セキュリティの一層の強化のためPCI DSSの準拠を決め、セブンネットショッピングシステムにおいて完全準拠の認証を取得しました。
* PCI DSS(カード業界データセキュリティ基準):
カードの加盟店、サービスプロバイダ(カード業務に関する業務を代行するデータ処理業者)向けのセキュリティ基準。PCI DSSはカードビジネス関連業者向けのカード会員情報及び取引情報を保護するためのセキュリティ基準で、カード会員情報の保護及び取引情報保護を目的としています。
株式会社セブン&アイ・ネットメディア 代表取締役社長 鈴木 康弘 様からのコメント
◆PCI DSS準拠の背景、目的
弊社の情報セキュリティポリシーにおいて、お客様からお預かりする個人情報は最も重要な情報の一つとしてその管理強化がビジネス上も必須のものと考えております。 昨今多発しているサイバー攻撃により、お客様の個人情報は、常にリスクにさらされています。弊社はセブン&アイグループで取り組みを進めているオムニチャネル実現に向けた中核会社として位置づけられており、その取り組みの一環として情報セキュリティ対策を率先して推進していく立場にあります。
このような背景の中、弊社では従来からISO 27001を取り入れ、そのマネジメントサイクルを通じてセキュリティレベルの維持、強化を行ってまいりましたが、さらにPCI DSSの定義する要件をクリアすることで、より安全なセキュリティ対策を構築できるものと考え、PCI DSS基準に準拠する対応を行いました。
◆PCI DSSの構築・準拠で工夫した点、またその成果や利点
工夫した点は下記2点です。
・ISO 27001のマネジメントサイクルや管理策にPCI DSS基準の考え方を取り入れることで、それぞれの要求事項への対応が分散化しないよう一元集約化を意識し、セキュリティ管理効率の向上を図りました。
・短期間での準拠を目指した取り組みだったため、準備期間の計画は日次レベルで設定しました。また、1日の遅延が他のタスクにも影響を及ぼす可能性があったため、毎日朝と夕方に進捗確認会を開催し、具体的な遅延原因を共有しながら遅延タスクを即時で解消しながら進めていきました。
そして成果や利点は下記の3点です。
・PCI DSSはクレジットカードセキュリティの基準ではありますが、準拠を通じてクレジットカードに関するセキュリティだけでなく、全般的なセキュリティ対策の強化にもつながりました。
・PCI DSSが要求する基準に対応していく過程で、関連する業務プロセスの見直しを行うことができました。
・準拠の過程でシステム部門を中心に現場部門が果たす役割が大きかったため、PCI DSS要求事項を担当部門自らが理解するきっかけをもつことができ、PCI DSS基準にそった今後のシステム開発や運用を行うベースができました。
◆PCI DSSの準拠認証機関にBSIを選んでいただいた理由、また審査の感想
今回の審査でBSI様を選定させていただいた理由は二点あります。
一つは、弊社のISO 27001における審査機関として従来からBSI様にはお世話になっていたことです。BSI様の審査は、審査員から審査結果をわかりやすく詳細にご説明いただけるため、受審している弊社にとっても審査を通じて気付きを得られることが多く、社内でも大変好評だったことが挙げられます。
もう一つは、今回のPCI DSS準拠の準備でコンサルティング会社からの推薦があったことです。
実際にPCI DSS審査を受けた感想については、ISO 27001の審査と同様、丁寧な審査とフィードバックにおいて質の良さを感じました。また、コンサルティング会社や弊社とも迅速かつ丁寧な連携をとっていただき、審査対応を円滑に進めることができたと感じております。
◆PCI DSSの今後の活用について
ISO 27001やPCI DSSをセキュリティマネジメントのツールとしてセキュリティ対策の維持・向上を継続し、内外の変化に対応するセキュリティ管理に役立てていきます。また、グループ全体の取り組みであるオムニチャネル実現の中で、PCI DSS準拠を通じて得られたノウハウを情報セキュリティ基盤の構築にフィードバックしていき、安心・安全なサービス提供実現のために活かしていきます。
BSIジャパンは、PCI DSS ペイメントカード業界データセキュリティ基準 概要解説セミナーを開催しております。
「PCI DSS ペイメントカード業界データセキュリティ基準 概要解説セミナー」
【日時】2014年11月12日(水) 14:00~16:30 (受付開始 13:45)
2014年12月 4日(木) 14:00~16:30 (受付開始 13:45)
【内容】・PCI DSS規格の概要
・全世界での取得状況、取得組織、遵守期限
・ISMSとの位置づけなど、最新状況を解説
【受講料】無料
【詳細・お申込】
http://www.bsigroup.com/ja-JP/our-services/seminar-events/seminar/PCIDSSseminar/
※会場・時間が変更になる場合がございます。
また、各種研修・トレーニングコースをご用意しております。
「PCI DSS カード業界セキュリティ研修コース」
【詳細・お申込】 http://www.bsigroup.com/ja-JP/PCIDSS/PCI-trainig/
インハウス(お客様先への出張研修)も行っております。
株式会社セブン&アイ・ネットメディアについて
セブン&アイのグループ会社として、“進化するネット社会に対応したオムニチャネルを目指し、いつでも・どこでも・だれでも・なんでも買えるショッピングを実現し、お客様・お取引先様・社員に新しい今日を提供し続ける”を経営ビジョンとし、グループ全体のオムニチャネルの構築戦略推進、またネット通販事業、メディア事業などを中心に事業を展開しています。詳細は下記URLをご覧ください。
URL: http://www.7andinm.co.jp/
BSI(英国規格協会)とBSIグループジャパン株式会社について
BSI(British Standards Institution:英国規格協会)は、1901年の設立以来、世界初の国家規格協会として、そして、ISOの設立メンバーとして活動する、規格策定のプロフェッショナルである。現在、150カ国で64,000組織以上のお客様の活動に貢献している。BSIが開発した多くのBS規格(英国国家規格)は、ISO 9001(品質マネジメントシステム)、ISO 14001(環境マネジメントシステム)、ISO 27001(情報セキュリティマネジメントシステム)などのISO規格の原案として採用されており、その実績は世界随一を誇る。
BSIグループジャパンは、1999年に設立されたBSIの日本法人である。マネジメントシステム・医療機器の認証サービスとトレーニングコースの提供をメインとし、規格開発のサポートを含め規格に関する幅広いサービスを提供している。マネジメントシステムの認証サービスに関しては、国内に60社以上ある審査機関の中で、最も多くの規格の認証サービスの提供している審査機関の一つであり、数多くの規格の認証件数において国内No.1の実績を誇る、業界をリードする審査機関である。
URL: http://www.bsigroup.com/ja-JP/
■ お問い合わせ先
BSIグループジャパン株式会社(英国規格協会) マーケティング本部
東京都港区北青山2-12-28 青山ビル5階
TEL: 03-6890-1174
FAX: 03-6890-1181
Email: Japan.Marketing@bsigroup.com