メールマガジン登録
Rss X-twitter Facebook-f

送金・決済サービス「Kyash」がPCI DSSとTRUSTeの認証を取得

2017年9月4日8:00

PCI DSSの準拠企業の中でも短期間で準拠を達成し、セキュアな発行システムを構築

Kyashでは、国内初の前払式支払手段を活用した自社システムをベースに、送金・決済アプリ「Kyash」を展開している。同社では、PCI DSS Version 3.2準拠の認定を取得するとともに、個人情報の管理が安全にできていることを証明する認証マーク「TRUSTe(トラストイー)マーク」を取得し、外部機関により高いセキュリティ体制のもとでサービスを運用している。

サービス開始時点から強固なセキュリティを意識
PCI DSS準拠のシステムはクラウド環境を利用

Kyashでは、2017年1月に金融庁より前払式支払手段(第三者型)の承認を受け、国内初の仕組みとして、個人間の無料送金アプリ「Kyash」の提供を2017年4月5日より開始している。

Kyash 代表取締役 鷹取 真一氏

「セキュリティに関する考え方として、弊社ではプロダクトの開発初期から、セキュリティエンジニアとしてホワイトハッカーを採用して、ネットワークの構築から組み込みをしてもらっています。お金を取り扱うサービスということもあり、セキュリティは最重要項目として位置付けています。」(Kyash 代表取締役 鷹取 真一氏)

Kyashでは、PCI DSSの準拠について、会社設立当初から認識しており、国際ブランドのビザ・ワールドワイド(Visa)、クレジットカード会社と連携してサービスを展開する上で、基準を満たすことは大きかったそうだ。PCI DSSは、ペイメントカードの国際セキュリティ基準であり、将来的に海外に展開する上でも基準に準拠することは重要だった。PCI DSSに準拠している企業の中には、サービス提供後に取得したケースもあるが、「弊社はユーザーが少ない規模であっても、信用を失うのは一瞬ですので、開始時点から万全を期しています」と鷹取氏は強調する。

創業当初は、プリペイドスキームでサービス提供をするかは定まっていなかった。ただ、銀行の場合、融資のチャネルがなければ持続可能なビジネスモデルにならない可能性が高く、決済までつながるようなビジネススキームを構築し、国際ブランドのネットワークを活用することで、出口を幅広く用意できると考えていた。鷹取氏は、「銀行と組んでデビットを行う選択肢もありましたが、弊社がサービスの提供主体となる形を選びました」と説明する。また、同社のサービスは海外の“プリペイドデビット”に近く、入金額の範囲でしか利用できないスキームとは異なり、クレジットカードの仕組みと連携することで、残高がゼロでも決済や送金に利用できるのも自社で構築したシステムの特徴となっている。

Kyashでは、2016年初頭からPCI DSS準拠に向けた準備を開始。当初は大手システムインテグレーターであるTISに対して、同社の「CARD×DRIVE(カード・ドライブ)」で利用するカード決済のリアルタイム通知・閲覧システムを提供する上で、接続試験、脆弱性診断を行っており、PCI DSS準拠と関連性があるかを検証した。鷹取氏は、「当時のカード決済のコアシステムの構築ノウハウを生かし、自社でプロセッシングシステムを行う仕組みを構築しました」と、当時を振り返る。

システムは「Amazon Web Services」のクラウド環境で構築している。Amazon Web ServicesでPCI DSSに準拠した例は国内でも複数あるが、プロセッシングを自社で提供し、イシュア(カード発行)の仕組みを構築したケースは国内になかったため、米国のセキュリティチームを紹介してもらうなど、Amazonの協力を得ながら対応を進めた。

同社では、決済サービスの提供に当たり、自社でクレジットカード情報を保持している。そのため、カード情報の厳格な管理は必須だ。Kyashに登録したカード番号は暗号化。PCI DSS準拠についても、スコープはシステム全体となった。

カード情報は2カ所通過するためスコープの設定で工夫
準拠にかけたコストは500万円弱

Kyashのサービスでは、イシュアとしてのサービス提供に加え、登録カードの情報に対してオーソリゼーションをかけるため、カード情報が通過するところが2つある。そのため、「どこまでスコープを決めるのか、どこまでが要件になるのかを決めるところをよく検討しました」と鷹取氏は打ち明ける。今後は、機能追加やプロダクトとして新しいサービスができた際、カード情報を連携する必要が出てくる。また、スコープが広くなる可能性も考慮しなければならない。

さらに、スタートアップのオフィス環境において、細かいセクションが必ずしも分かれていないこともあり、どこまでを作業環境とみなすのかという、取り決めもコンサル会社などと細かいすり合わせが求められた。

(書籍「ペイメントカード情報セキュリティ対策の仕組み」よりKyash準拠事例の一部を紹介)

カード決済&リテールサービスの強化書

関連記事

こちらもおすすめ
  1. Visaプリペイド機能を活用した本人確認不要の送金・決済サービス「Kyash」とは?
  2. 送金アプリ「Kyash」のAndroid版を提供開始、iOSの機能もアップデート(Kyash)
  3. 前払式支払手段を活用した個人間の無料送金アプリ「Kyash」を発表(Kyash)
  4. クラウドECプラットフォーム「ebisumart」がPCI DSSに準拠、カード情報の「処理」や「通過」をEC加盟店側で行わないシステム構成を実現
  5. 三菱UFJニコスの「J-Mupsセンター」がPCI DSSに完全準拠(BSIグループジャパン)
  6. 1日単位で購入できるSSLサーバ証明書(SBIベリトランスなど)

ペイメントニュース最新情報

1205dnpseminar
kyokasho2025

MAILMAGAZINE

無料メルマガ登録

PAYMENTNAVI LOVE

無料会員登録

feitian
ポータブル決済端末、オールインワン決済端末、スマート決済端末、新しい決済端末3製品をリリースしました(飛天ジャパン)
itnavi

国内最大級のクレジットカード情報データベース(アイティーナビ)

netstarslogo
「お金の流れを、もっと円(まる)く」決済ゲートウェイ事業のパイオニアとして、強固なシステムでキャッシュレス決済を次のステップへと推進します。(ネットスターズ)
gmopg

国内最大級の導入実績を誇る決済代行事業者(GMOペイメントゲートウェイ)

remise
決済シーンにdelight(ワクワク感)を!PCI P2PE 認定国内実績 No.1の「確かな信頼」を提供します(ルミーズ)
tmn
電子マネー、クレジット、QR・バーコード、共通ポイントなど、多数のキャッシュレス決済サービスをワンストップで提供(トランザクション・メディア・ネットワークス)
infcurion3
決済領域を起点に多様なビジネスニーズに応える各種ソリューションを提供(インフキュリオン)
scudetto_logo
ReD ShieldやSift等の不正検知サービスを提供し、お客様の不正対策を支援(スクデット)
zeus2
BtoCもBtoBも。クレジットカード決済を導入するならSBIグループのゼウスへ。豊富な実績と高セキュリティなシステムで貴社をサポートいたします。(ゼウス)
toppan
TOPPANの決済ソリューションをご紹介(TOPPANデジタル)
dgft
多様な業界のニーズに対応した、さまざまなキャッシュレス・決済関連サービスを提供する総合決済プロバイダー(DGフィナンシャルテクノロジー)
exa
決済業務の完全自動化を実現する「Appian」とクレジット基幹プラットフォームを合わせてご紹介!(エクサ)
akuru
チャージバック保証、不正検知・認証システムなどクレジットカード不正対策ソリューションを提供(アクル)
rogo3

非対面業界唯一!!カード会社とダイレクト接続により、安心・安全・スピーディーで質の高い決済インフラサービスを提供。Eコマースの健全な発展に貢献する決済代行事業者(ソニーペイメントサービス)

3inc
stera terminalでお店のポイントがつけられる「VALUE GATE」(トリニティ)
netmove1_logo

Spayd スマートフォン、タブレットがクレジット決済端末に!(ネットムーブ)

dnp

DNPキャッシュレス 決済プラットフォームをご紹介(大日本印刷)

TAG
3-Dセキュア BtoB CLO EMV FeliCa HSM IC乗車券 ID決済 NCB NFC P2PE PCI DSS PCI DSS準拠事例 Pro2021 Pro2022 Pro2023 Pro2024 インバウンド キャッシュカード キャリア決済 ギフトカード クレジットカード クレジットカード会社 デビットカード トークナイゼーション プリペイドカード ポイントカード マイナンバー マーケティング モバイル モバイルペイメント 不正検知(フラウド) 個品割賦 公金決済 共通ポイント 地域通貨 外貨決済 後払い 決済端末 法人カード 海外情報 無料会員コンテンツ 越境EC 送金 電子マネー
paymentnavi-shiro

© Copyright payment navi. All Rights Reserved.

本サイトの掲載記事、写真・画像の無断転載・複製を固く禁じます。記載されているロゴや製品・システム名は各社および商標権者の登録商標・商標です。

PAGE TOP