2024年5月2日8:10
家計簿プリカ「B/43(ビーヨンサン)」を展開するフィンテックのスタートアップ企業、スマートバンクは、サービスイン当初からPCI DSS ver3.2.1に準拠したシステム開発を行っている。PCI DSSは、加盟店やサービスプロバイダにおいて、ペイメントカード会員データを安全に取り扱う事を目的として策定されたセキュリティ基準で、イシュア(カード発行会社)としての事業運営を手掛けるスマートバンクには必要なセキュリティ基準だが、その認証取得や維持運営は簡単ではない。スマートバンクにPCI DSS準拠を実現し、発展させるための取り組みを聞いた。
国内初フリマアプリ「フリル(現ラクマ)」生みの親
キャッシュレス時代に対応した「家計簿」プリカ開発
スマートバンクCTO 堀井雄太氏は、フリマアプリ「フリル」を開発したFablicを起業した一人だ。フリルは、2012年7月にiOS向けアプリケーションがリリースされ、日本国内では初めてとなるフリマアプリとしてサービスを開始した。18年2月に楽天が運営するフリマアプリの「ラクマ」と統合し、名称が「ラクマ」に変更されている。
堀井氏らはFablicを創業した同じメンバー3人で2019年にスマートバンクを設立した。EC業界からフィンテック業界への転身となるが、堀井氏はその動機について、「私たちが解決したかった課題を解く鍵がフィンテック業界にあったからです。キャッシュレス化が進む中で、お金を管理したり、収支の把握をすることが難しくなっていると感じていたので、よりわかりやすく、ユーザーの求めているお金の管理システムを生み出したいと考えました」と話す。
そして、生み出したプロダクトが、家計簿プリカ「B/43」だ。Visaプリペイドカードと家計簿アプリがセットになった支出管理サービスで、毎月の予算をカードにチャージして日々の支払いをすることで、自動で記録され、見える化される。これを使えば、手軽に支出管理を継続することができる。また、ポケットというサブ口座に目的別のお金を分けておくだけの「ポケット家計管理」でも支出管理が可能だ。
「B/43」のこれまでの成果について堀井氏は「ペアカードが順調にユーザーを増やしており、私たちの仮説が正しかったと確信しています。引き続き、家計関連の機能を強化し、ユーザーのキャッシュフローの改善に役立てたいです」と述べる。B/43ペアカードは生活を支え合うパートナー同士が共同で保有できる口座であり、生活費の支払いを一元化し、支払いや残高の情報をリアルタイムで共有することによって、家計管理の効率化や改善を図ることが可能だ。
「スコープを小さく」「クラウド製品を活用」
PCI DSSに準拠するために必要な取り組み
「B/43」のプロダクトをリリースするためには、カードを発行したり、ユーザーのお金を預かったりするプロダクトに必要なセキュリティ基準を満たさなければならない。PCI DSSに準拠して堅牢なシステムを作る必要性に迫られた。
PCI DSSに準拠するための取り組みとして、堀井氏は準拠するスコープを小さくすることの重要性を指摘する。PCI DSSはカード会員情報を格納、処理、伝送するシステム全てに適応されるため、カード情報が格納されたDBおよびDBにアクセスするアプリケーション、カード情報を使って処理を行うアプリケーション、カード情報を伝送するネットワークについては、すべてPCI DSSに準拠しなければならない。
また、イシュアが実装する機能すべてを1つのシステムにすると、準拠範囲はシステム全体に適応されてしまうという課題にも直面した。このため、PCI DSS準拠を境界にしてシステムを2つに分解することにした。その上で、データ取得の流れを準拠環境から非準拠環境の一方通行になるように制御した。非準拠環境ではカード情報は扱わないようにした。
