サーバーワークスなど5者、AWSを活用したPCI DSS準拠ナレッジを発信するコンソーシアムを発足

　株式会社サーバーワークスは16日、株式会社琉球銀行、fjコンサルティング株式会社、株式会社GRCS、株式会社リンクと共同で、Amazon Web Services（AWS）を活用したPCIデータセキュリティ基準（以下、PCI DSS）準拠のナレッジを、AWSおよびPCI DSSのユーザーに情報発信するコンソーシアム「PCI DSS AWS Users Consortium Japan（略称：PCI DSS AUC Japan）」を発足したと発表した。

　サーバーワークスでは、PCI DSSは、バージョンアップが不定期に行われ、PCI SSC（PCI DSSの発行組織）のQ&Aにより要件の解釈も大きく変更される場合もあり、AWSにおける実装方法や効率的な運用について、ユーザー企業が単独で情報収集するには限界があると説明。また、PCI DSSやその準拠のためのAWS関連情報は英文によるものも多く、日本企業が利用しにくいなどの課題も残されているという。

　このような、AWSとPCI DSSを取り巻く環境の中、琉球銀行がアフターコロナ後のインバウンド需要に向けた新たなクレジットカード決済事業を開始するにあたり、コンソーシアムの幹事会社からノウハウやサービス提供を受けることにより、短期間かつ低コストでAWS上にPCI DSS準拠のシステムを構築することができたという。

　今回の琉球銀行における取り組みは、AWS環境においてPCI DSS準拠のシステムを短期間かつ低コストでリリースするベストプラクティスの一つになると考えていると説明。また、外部ベンダーの協力なしに自社単独で、AWS環境を利用してPCI DSSに準拠することが困難であることは、琉球銀行のみならず他地方銀行やユーザー企業においても同じ課題があるとして、この「琉球銀行モデル」のノウハウや取り組みをそれらの企業と共有することで貢献したいという各社の思いから、コンソーシアムを発足したとしている。

　コンソーシアムは、PCI DSSを中心としたキャッシュレス決済のセキュリティ構築、運用について、AWSの利用を前提に、グローバルトレンドから最新の導入、運用事例などの知見を集め、情報発信していくことを目的に設立した。

　活動内容としては、PCI DSS、クレジットカードセキュリティ対策、クレジットカード情報流出事件やその手口などの最新情報、PCI DSSを前提としたAWSの各種サービス活用のガイダンスやFAQなどを、会員企業に提供する。特に、技術的な視点で、幹事会社、会員企業間で情報交換を行い、その内容を発信する。

　PCI DSSとAWSに関連する技術情報について、会員企業の質問に幹事会社のナレッジやベストプラクティスに基づき回答を作成し、コンソーシアムがFAQとして公開する。会員企業はFAQにアクセスし、該当するものがない場合はFAQへの公開を前提に質問することもできる。

　また、PCI DSSおよびクレジットカードセキュリティ対策の観点で、AWSパートナーの新サービスや事例発表など、AWS活用を前提とした各種周辺サービスやソリューション、セミナーやイベントについても発信する。

　さらに、オンプレミスを前提としていたクレジットカード情報の取り扱いインフラを、どのようにAWSを活用すれば、より安全に、スケーラブルに、より低コストでPCI DSS準拠が実現できるか、ユースケースや導入事例を取りまとめていく。

　コンソーシアムでは、法律と関連ガイドラインにより、PCI DSS準拠が要請されているユーザー企業（2021年改正割賦販売法で定義される1号～7号事業者に該当する企業）を募集する。コンソーシアムの加入費、年会費は無料。