電算システムは、クレジットカード決済サービスの開始にあたり、米Vormetricのセキュリティ製品を導入して、同サービスをカード情報セキュリティ国際規格のPCI DSSに準拠させた。選ばれたVormetric製品は、クレカ番号などを無意味な文字列に置き換えるトークン化ソフトと暗号化ソフト。製品を提供したキヤノンITソリューションズが2018年12月25日に発表した。
電算システムには、BPO(ビジネスプロセスアウトソーシング)やSIなどを担う情報サービス事業部門のほかに、公共料金や商品代金、会費などを自治体や企業・組織に代わって回収する収納代行サービス部門がある。1997年2月にはコンビニ収納代行サービスを開始、これは業界の中でも早期の取り組みとなった。
2018年には、カード情報セキュリティ国際規格のPCI DSS(Payment Card Industry Data Security Standard)の準拠認定を取得した。これにより同社は、ガス販売店や通販会社、学習塾、スポーツクラブ、各種販売店向けに、決済用クレジットカード情報の登録・預かりサービスを、ガソリンスタンドやガス販売店などの燃料小売業界向けに、クレジットカード決済代行サービスを提供する体制を整えた。
図1:VTSによるトークナイズ(保護対象のデータを意味のない文字列に置き換えるトークン化)の概要(出典:キヤノンITソリューションズ)拡大画像表示
クレジットカード決済代行サービスの提供基盤は、レガシーシステムとの関係から、プレーンテキストで保持している情報があるため、単純にデータベースの暗号化を行うだけではPCI DSSに準拠することができない。電算システムはこの課題を解決するために、米Vormetricの製品群を導入した。
導入した製品の1つ、「Vormetric Tokenization with Dynamic Data Masking(VTS)」は、データベース内の保護対象となる情報を、意味のない文字列(トークン)に変換するトークナイゼーションソフトである(図1)。トークンを使って決済に必要な処理を行うことでPCI DSSの監査対象外となるため、PCI DSSの審査を受ける際の審査作業を軽減できる。
併せて、暗号化ソフトの「Vormetric Transparent Encryption(VTE)」も導入した。指定したフォルダに含まれるファイルをファイル単位で暗号化する。WindowsやLinux、各種UNIXなどのOS上にインストールして使う。アプリケーションから見て暗号化していることを意識することなく、透過的なアクセスを利用できる。
