「やるなら、みんなで。」PCS DSS監査対応チームの話

ごあいさつ

こんにちは。サブスクペイのペイメントシステム課CREのHori_kです。
弊社はクレジットカード決済を扱う会社なので、PCI DSSというクレカ業界のセキュリティ基準に準拠しています。なにそれ？という方はググったりうちのボスのブログを読んだりしてください。 tech.robotpayment.co.jp tech.robotpayment.co.jp 3月から5月にかけて、そのPCI DSSの監査対応にチームで当たりました。その時のチーム体制が、自分の過去の経験とは違いわが社のよい文化だと感じたのでブログに書こうと思います。

読者の職場のセキュリティ基準対応はどんな体制ですか？

こういうブログですから、読みに来た方も職場でなにかしらセキュリティ基準の対応などしているのかなと思います。PCI DSSであったり、PマークやISMS認証であったり、いろいろありますね。
さて、その対応に当たっての担当者はどうなってますか？
多くの職場で、主な担当者は毎年同じ人で、周囲は担当者にただ従う形で対応しているのではないでしょうか。自分の昔の職場ではそうでした。こういう監査とか、まずは独特の言語表現やお約束事を理解するところからですし、毎年のことですからそれは毎年同じ人が担当するのが楽です。工数もかけないで済みます。

ペイシスの監査対応チームは真逆でした。

さて、自分が今年のPCI DSS監査のMTGに他のメンバーともども呼ばれたのは3月の事でした。入社して1年未満のころ。前述のような体制に慣れていた私はMTGにもお客さん気分で油断していました。そこであった監査対応チームの説明は次の通りです。

昨年、監査対応に当たったベテラン社員'sは今回の主担当はやりません。助言、サポートはします。
今年の担当は、去年は監査対応に当たらなかったベテラン社員さんがリーダーです。
Hori_Kさんも担当要件をいくつか持って監査員に説明してね。

え？まじですか？会社の信用にかかわる重要な監査なのに、私なんかが監査員に説明するのですか？
そんな感じで戦いは始まりました。

さあ PCI DSS 監査対応です！

さて、PCI DSSの監査対応の内容については、本稿では割愛します（笑）
本稿ではチームの話。

不慣れな作業。まずは資料をどう読み解くか日本語がわからん状態でしたが、この順番で資料をみると理解が進むよ！などと積極的に共有してくれるメンバーがいて助かりました。ありがとう！
自分のキャパをオーバーした要件は、調整していただき他のメンバーに助けてもらいました。ありがとうありがとう！
昨年の担当メンバーにもなんだかんだとサポートしていただきました。
ペイメントシステム課では通常業務は基盤・機能開発・CREチームと業務が分かれているのですが、今回の監査対応チームはそれらを横断して対応するので、いつもより多くコミュニケーションが図れました。

「やるなら、みんなで。」

さて、タイトルに入れた「やるなら、みんなで。」
これは実は、弊社の開発チームが大切にしている価値観の4本柱の1つです（他の3つは何か？ページ下部の採用リンクから確認できます）。こういう、掲げた価値観が建前だけになってしまうことも世間ではありそうですが、弊社はちゃんと実践しているなと実感しました。みんなで対応したことで、慣れているいつもの人が対応するよりも工数はかかります。しかし、PCI DSSについての理解はとても深まり、今後の業務に活かせそうです。また、PCI DSSの監査対応の前後では、会社の福利厚生とケータリングサービスを使って、決起会、お疲れ様会のオンライン飲み会などもありました。リモートワークなので同僚となかなか一緒に飲みに行ったりは出来ないので、オンライン飲み会、楽しい時間でした！
最後にその時の写真を紹介します。食べて飲むのに忙しくて雑な写真ではありますが。1枚目が決起会の和風セットで2枚目がお疲れ様会のイタリアンですね。では、ここまで読んでくれてありがとうございました！