AWSを活用したPCI DSS準拠ナレッジを発信するコンソーシアム 「PCI DSS AWS Users Consortium Japan（PCI DSS AUC Japan）」 を5社で発足

PCI DSSはバージョンアップが不定期に行われ、PCI SSC（PCI DSSの発行組織）のQ&Aにより要件の解釈も大きく変更される場合もあり、AWSにおける実装方法や効率的な運用について、ユーザー企業が単独で情報収集するには限界があります。また、PCI DSSやその準拠のためのAWS関連情報は、英文によるものも多く、日本企業が利用しにくいなどの課題も残されています。

このようなAWSとPCI DSSを取り巻く環境の中、琉球銀行がアフターコロナ後のインバウンド需要に向けた新たなクレジットカード決済事業を開始するにあたり、本コンソーシアムの幹事会社からノウハウやサービス提供を受けることにより、短期間かつ低コストでAWS上にPCI DSS準拠のシステムを構築することができました。

今回の琉球銀行における取り組みは、AWS環境においてPCI DSS準拠のシステムを短期間かつ低コストでリリースするベストプラクティスの一つになると考えています。また、外部ベンダーの協力なしに自社単独で、AWS環境を利用してPCI DSSに準拠することが困難であることは、琉球銀行のみならず他地方銀行やユーザー企業においても同じ課題があるはずです。このベストプラクティス「琉球銀行モデル」のノウハウや取り組みをそれらの企業と共有することで貢献したいという各社の思いから、本コンソーシアムが発足することとなりました。

なお、この度の発表に関して、PCI DSSを策定・管理するPCI SSC（所在：米国） アソシエイトディレクター 井原亮二様からメッセージをいただいております。

「サイバー攻撃が世界的に増加している中、決済のセキュリティはこれまで以上に重要な課題となっています。 決済データを保護するためには、強力な基準と良質なセキュリティ対策が不可欠です。 セキュリティは、現在そしてこれからも、企業にとって最優先事項でなければなりません」

■ 本コンソーシアムの活動概要

「PCI DSS」を中心としたキャッシュレス決済のセキュリティ構築、運用について、AWSの利用を前提に、グローバルトレンドから最新の導入、運用事例などの知見を集め、情報発信していくことを目的に設立します。

1. 技術情報の発信
PCI DSS、クレジットカードセキュリティ対策、クレジットカード情報流出事件やその手口などの最新情報及びPCI DSSを前提としたAWSの各種サービス活用のガイダンスやFAQなどを会員企業に提供します。特に技術的な視点で幹事会社、会員企業間で情報交換を行い、その内容を発信します。PCI DSSとAWSに関連する技術情報について、会員企業の質問に幹事会社のナレッジやベストプラクティスに基づき回答を作成し、本コンソーシアムがFAQとして公開します。会員企業はFAQにアクセスし、該当するものがない場合はFAQへの公開を前提に質問することも可能です。

2. セミナーやイベントの開催
PCI DSSおよびクレジットカード セキュリティ対策の観点で、AWSパートナーの新サービスや事例発表など、AWS活用を前提とした各種周辺サービスやソリューション、セミナーやイベントについても発信します。

3. ベストプラクティスの取りまとめ
オンプレミスを前提としていたクレジットカード情報の取り扱いインフラを、どのようにAWSを活用すれば、より安全に、スケーラブルに、より低コストでPCI DSS準拠が実現できるか、ユースケースや導入事例を取りまとめていきます。

■ 本コンソーシアム会員企業の募集について

法律と関連ガイドラインによりPCI DSS準拠が要請されているユーザー企業（2021年改正割賦販売法で定義される1号～7号事業者に該当する企業）を募集します。本コンソーシアムの加入費、年会費は無料です。

なお、上記以外のユーザー企業及びベンダー企業の参加要件については、本コンソーシアム発足後に会員であるユーザー企業様のニーズに応じて決定していきます。

■ 本コンソーシアム幹事会社と各社の役割

株式会社サーバーワークス　https://www.serverworks.co.jp/

AWSに特化したインテグレーション事業とサービスの提供を行っている、クラウドインテグレーターです。 2014年から7年連続でAWSのコンサルティングパートナーの最上位である APN プレミアコンサルティングパートナーに選定されています。本コンソーシアムではPCI DSSを前提としたAWSの各種サービス活用のとりまとめと事務局を担当します。

株式会社 琉球銀行　https://www.ryugin.co.jp/

沖縄県那覇市に本店を置く地方銀行で、2017年に銀行本体で国際ブランドのアクワイアリング事業を開始、電子マネーやQRコード決済を含めグループ全体で地域観光産業への貢献とキャッシュレス化による利便性向上を積極的に進めています。本年度中にリリースを予定するUnionPayカードのアクワイアリング事業をAWS環境で構築するにあたり、システム設計段階よりPCI DSS準拠を前提としたコンサルティングを受けてきた経験から、本コンソーシアムでは、ユーザー企業代表として、PCI DSS準拠に係るユーザー目線での意見・提言を行っていきたいと考えています。

ｆｊコンサルティング株式会社　http://www.fjconsulting.jp/

キャッシュレスセキュリティ、主にPCI DSSに関連するコンサルティングやトレーニングサービスを提供しております。本コンソーシアムでは、ユーザー企業からのPCI DSSに関するFAQの回答やセミナーやイベントの講師を担当します。

株式会社GRCS 　https://www.grcs.co.jp/

PCI SSCより認定されたQSA(Qualified Security Assessor)としてPCI DSS準拠状況の確認・判定のための審査を行います。本コンソーシアムでは、PCI DSSに関するセミナーやイベントの講師を担当します。

株式会社リンク　https://www.pcireadycloud.com/

PCI DSS 準拠を促進するクラウドサービス 「PCI DSS Ready Cloud AWSモデル」や 「BIZTEL コールセンター PCI DSS」 などを展開しております。本コンソーシアムでは、AWSを活用したPCI DSS準拠の最新事例の公開やセミナーやイベントの講師を担当します。

■ 株式会社サーバーワークスについて

サーバーワークスは、「クラウドで、世界を、もっと、はたらきやすく」をビジョンに掲げ、2008年よりクラウドの導入から最適化までを支援しているAWS専業のクラウドインテグレーターです。
2021年11月末日現在、960社、11,900プロジェクトを超えるAWS導入実績を誇っており、2014年11月よりAWS パートナーネットワーク（APN）＊最上位の「AWS プレミアコンサルティングパートナー」に継続して認定されています。
移行や運用、デジタルワークプレース、コンタクトセンターなど多岐にわたって認定を取得し、AWS事業を継続的に拡大させています。
取得認定、実績についての詳細はこちらをご覧ください：
https://partners.amazonaws.com/jp/partners/001E000000NaBHzIAN/

※1 PCI データセキュリティ基準（PCI DSS）：クレジットカードなどペイメントカード会員データを安全に取り扱う事を目的として策定された国際セキュリティ基準。Payment Card Industry Data Security Standard の頭文字をとったもので、国際ブランド５社 ( American Express・Discover・JCB・MasterCard・VISA ) が共同で設立したPCI SSC ( Payment Card Industry Security Standards Council ) によって策定・管理されている。

＊本リリースに記載された会社名、サービス名等は該当する各社の登録商標です。
＊アマゾン ウェブ サービス、およびAWSは、米国および/またはその他の諸国における、Amazon.com, Inc.またはその関連会社の商標です。
＊本リリースの情報は発表日現在のものです。最新の情報とは異なる場合がありますのでご了承ください。