PROJECT STORY #04
法律より、先に動け。
クレジットカード加盟店のセキュリティ対策強化プロジェクト
NTTファイナンスのクレジットカード事業は「カード発行会社」、「日本最大規模の取扱額を誇る加盟店」、「カード決済処理会社」あらゆる側面を持ち、個人の会員から加盟店まで大きな社会的責任を背負う。とりわけその責任が試されるのが法改正への対応だ。情報セキュリティのレベルを、これまでにない水準へ。法の要請に応えるためのプロジェクトが幕を開けた。
矢野花織
KAORI YANO
文学部 卒
- 2014年4月:
- 入社。カードセンターに配属。NTTグループカード会員向けの事務処理担当でイシュイング業務を学ぶ。
- 2016年4月:
- カード営業推進部に異動。主にグループ会社のカード決済に係わる事務処理、加盟店の営業窓口を担当する。
カードは、裏側が面白い。
現金を持たずに買い物をすることは、すっかりあたりまえになった。カード1枚あれば、たいていの支払いは済んでしまう。それを特別なことだと思う人はいないはずだ。
もともとは矢野もそんな一人だった。就活で金融業界をチェックして、はじめてクレジットカードの魅力に気づいた。なにげなく使っていたカードだが、その利便性はさまざまなシステムが機能しあって成り立っている。身近なものだからこそ、裏側にある仕組みの面白さがいっそう際立ったのかもしれない。
NTTファイナンスに入社した矢野は、まずカードセンターに配属された。NTTグループカード会員向けの事務処理業務を手がける、NTTファイナンスにはめずらしく個人のお客様とのやりとりがある部署だ。矢野の仕事は主にスタッフ管理だったため、お客様からの電話を直接とる機会は少ない。それでも、利用者の声が絶えず届く場所で、クレジットカードのイロハを学べたのは大きかった。2年間のカードセンター経験のあと、矢野は満を持して加盟店部門へ異動となった。ちょうどそのタイミングで、クレジットカードを取り巻く環境が大きく動こうとしていた。
仕組み
法改正に直面。
クレジットカードの不正利用が社会問題になっている。平成28年の被害額は140.9億円。平成24年の68.1億円から2倍以上になった。その6割以上を占めているのが「番号盗用被害」。スキミングなどの手口のほか、企業からのカード情報流出もここに含まれる。ECサイトで買い物をしたりサービスを申し込む際、利用者が入力した情報が何かの原因で外部に漏れる。これが起きると利用者に被害が及ぶことはもちろん、ECサイトの運営企業はセキュリティの不備を問われ、社会的な信用を失う。
この状況のもと、法律が変わることになった。企業には、より厳格なセキュリティ体制が求められるようになる。その方法のひとつが「クレジットカード情報の非保持化」だ。企業は自らの機器やネットワーク上で、カード情報を通過させることも、処理することも、保存することもできないというもの。持たなければ流出することもないというシンプルな原理だが、企業にとっては一大事だ。ECシステムに大きく手を入れる必要がある。
矢野が担当する、とある会社も決断を迫られていた。年間取扱件数は数10万件、年間取扱額は数100億円という大きなクライアントだ。
石橋を叩くように。
法律が変わるとして、企業が即座に対応することは難しい。法律の詳細がまだ固まっていないこともあれば、コストやリスクを見きわめる時間も必要だ。加盟店への提案にあたっては、関係各所から集めた情報をもとにクライアントと話し合い、最善の対応策を提案する。いよいよ「クレジットカード情報の非保持化」に取り組む方針が固まると、プロジェクトの規模は一気に拡大する。クライアントのIT担当者やシステムベンダーなども巻き込んで、新たなシステムの仕様を議論していく。
プロジェクトを進めていく上で、矢野には大きなハードルがふたつあった。ひとつは、クライアントとのやりとりそのものだ。法人顧客と向き合った経験が浅く、たとえばメールの書き方ひとつとっても不安だった。矢野はメールの下書きを上司に確認してもらうことから始め、石橋を叩くようにコミュニケーションの方法を学んでいった。
もうひとつは技術的な知識。これがないと、そもそもクライアントと会話ができない。社内のシステム担当者にレクチャーを受け、大急ぎで知識を蓄えた。システム改修となると、ちょっとしたコミュニケーションのミスや認識のずれが大きな影響を及ぼす。メールの作法も技術的な知識も、それを防ぐための大前提だ。
矢野のある一日
- 9:00
- 確認事項について、メールや電話でのやりとり。
- 10:00
- システムベンダーとの電話打ち合わせ。
- 11:00
- アポイントに向けた資料作成。
- 12:00
- ランチ。
- 13:00
- メールで各所への作業依頼。
- 14:00
- 担当する加盟店の事務処理チェック。
- 16:00
- 加盟店を訪問。
- 17:30
- 打ち合わせ終了。そのまま帰宅。
カードのすべてを、ここで。
システム改修にあたって、検討すべき項目は多岐にわたった。たとえばカード番号の置き換え方。トークンと呼ばれるランダムな英数字に置き換えてクライアントが番号を直接取得しないようにするのだが、それを何桁にするか、どんなルールで置き換えるかだけでもさまざまな選択肢がある。そんな課題が次から次へ。メールや対面の打合せでやりとりされる検討項目のリストは100近く及んだ。プロジェクトが佳境を迎えた今、どうにかそのひとつひとつにゴールが見えてきたところだ。
まだ油断はできない。それでも、矢野は大きな手応えを感じている。何より嬉しかったのは、想像したよりもはるかにクレジットカードの世界が面白かったこと。世の中の商取引を支えるインフラであり、必然的に仕事の規模や影響力も大きくなる。その手応えは何物にも代えがたい。NTTファイナンスのクレジットカード事業本部は、一事業部でありながら、カードの専門企業と同じくあらゆる機能を備えている。そのすべてを経験することで、さらに強く「カードの裏側」を支えたい。それが矢野の描く進路だ。