2021年2月16日8:00
セキュリティのエキスパートを有し、常に最新の対応を意識
あと払いサービス「ペイディ」を展開するPaidyは、2020年8月からPCI DSS準拠に取り組み、同10月にPCI DSSに完全準拠した。CISOのFelix Beatty氏に同社の取り組みについて説明してもらった。
※書籍「キャッシュレス・セキュリティガイド」より
3回払い開始など国内でサービス拡大
社内でセキュリティプラットフォーム構築
ペイディは、事前登録不要で、メールアドレスと携帯電話番号、認証コードで決済(与信)完了するあと払いサービスだ。また、2020年10月27日からは分割手数料無料の「3回あと払い」サービスも開始するなど、サービスを拡大している。
Paidyでは、2年前にFelix 氏がCISOに就任し、全社でサイバーセキュリティ戦略をまとめた。人々の生活や人生において不可欠なプラットフォームを目指す中、サイバーセキュリティに関する認識を社員全員に伝えることを実践してきた。
PaidyがPCI DSSに準拠した理由として、1つめは、「お客様の重要なアセットと、Paidyの重要なアセットを守るために、セキュリティ対策していることを国際的に認知してもらいたいと考えました」とFelix氏は話す。2つめは、理想的な商品、サービスを提供するためには、スタンダードに準拠することが重要であるとした。「FinTech(フィンテック)技術をしっかりとペイディ向けに最適化し、スタンダードを元に革新的なサービスを開発し、提供していきたいです。その1つが3回あと払いです」(Felix氏)。利便性が高く、セキュアなサービスを利用する人々の夢を実現するための手段を提供していきたいとした。同サービスの提供に向け、経済産業省管轄の包括信用購入あっせんの仕組みがあり、ガイドライン準拠に向けて複数の選択肢があったが、全面的にPCI DSSを取得する意思決定となった。
Felix 氏は「弊社では、マイクロサービスやシステム、プロセスが集積したものを維持しており、社内で『セキュア・プラットフォーム』と呼ばれています。このプラットフォームはセキュリティ機能を備え、セキュリティサービスやセキュリティ管理によって安全に最適化されています。また、金融サービス機関に関する厳格なセキュリティ原則・指針にも沿ったプラットフォームとなっています。このように基礎から築き上げた統合されたセキュリティコントロールが、私どものプラットフォームを、そしてもちろん私どものサービスの全ユーザーを守っているわけですが、何百万ものユーザーを有する強固なプラットフォームを作るための最高度に厳しい条件に、すべて適合しています」と説明する。
準拠に向けたプロセスが重要に
セキュリティエキスパートの採用を強化
PCI DSS準拠に苦労する会社も多いが、Paidyはセキュリティのエキスパートを有しており、取得すること自体はそんなに大変なことではなかったという。Felix氏は「準拠するためのプロセスが重要であり、そこに細心の注意を払っています」と強調する。
サイバーセキュリティの本当のエキスパートは世界的に不足していると言われる。日本では20万人のエキスパートが必要だといわれているが、数が圧倒的に足りない状況だ。そんな中、Paidyでは事業を飛躍させるため、エキスパートの採用を強化している。PCI DSSの準拠に向けても用意周到で臨んだが、包括契約と他の関連するライセンスを取得するために、準備を整えた。
「PCI DSSが1年に一回の監査ではなく、日々の一挙手一投足の中で準拠していることが試されます。企業のセキュリティコントロール文化の中にPCI DSSコンプライアンスが組み込まれていなければいけません。その中でもスコーピングは多くの事業者で非常に難しいところです。私たちの場合はカード所有者のデータを持っていて、サービスごとにラベリングができていましたので、PCI DSSの要件に応えることは難しくありませんでした。また、ネットワークセグメンテーション、データフロー、暗号化についての要件も含みます」(Felix 氏)
