2012年11月2日8:00
ペイメントナビ(payment navi)では、サイトの開設以来、中立的な立場でペイメントカードの国際セキュリティ基準である「PCI DSS」の準拠事例(準拠企業一覧のWebサイト)を紹介してきた。ここでは、ペイメントカードセキュリティフォーラムで講演するヤフーなど、これまで取材した加盟店の取り組みを取り上げる。
大手ショッピングモールのヤフーでは、「Yahoo!ウォレット」の決済環境で2008年11月にPCI DSS Ver.1.1に完全準拠した。同社では、外部コンサルティングなどの支援を受けずに、同社のスタッフが自ら計画を立て、実行する工程で審査に臨んだ。インフラ部門、開発部門、システム部門など全員現場のメンバーでチームを結成。訪問審査に向けて成果物を作成し、新規システムとしてIDS(侵入検知システム)の導入はあったが、大きなシステム投資は特になく、完全準拠を果たした。代替コントロールについては2008年に一箇所適用したが、2009年以降はすべてPCI DSSのオリジナル要件で準拠を果たしているそうだ。
国内最大手のインターネットサービスプロバイダ(ISP)であるNECビッグローブは6月、VisaのAIS認証にPCI DSS Ver.1.2の認証を取得した。2008年10月から準拠に向けて着手。1年半にわたる準備の末、国内ISPの中ではいち早く準拠を果たした。同社では、カード会員情報のみを既存のシステムから分離する形を採用。複数の代替コントロールを適用し、1年半の期間を要したがISPのなかではいち早く準拠を果たした。
ニフティでは、2009年下期からPCI DSS基準対応のシステム構築を開始している。専任のスタッフは特に設けず、日常の業務をこなしながら約70人のメンバーが対応に携わった。また、他社のコンサルティングなどは受けずに、すべて自社のスタッフで準備にあたった。同社でも準拠に向け既存のデータベースからカード会員情報を分離。これに伴い、サービス利用者のクレジットカード決済入力画面やスタッフの業務フローが変更になった。同社では準拠に向け予備審査を2009年3月、2010年3月の2回実施。結果的に代替コントロールを複数の項目で適用したが2010年8月16日付で完全準拠の認定を取得している。
ソネットエンタテインメントでは、2010 年9 月のPCI DSS Version2.0の発行に合わせて準備を開始。ISMSとPCI DSSの合同審査を行い、審査の負荷を軽減することを目指したため、両審査が同時にできるQSA(認定審査機関)を選定している。従来はISMSとプライバシーマークの社内規定は別々に作成していたが、PCI DSSを含め、すべての基準を統合したマネジメントマニュアルを作成した。結果的に同作業が一番大変だったという。代替コントロールは数箇所適用したが、事前の準備を行っていたこともあり、比較的スムーズに準拠を果たすことができたそうだ。
DMM.com社では、関連システムを請け負う関連会社のDMM.comラボ社と共に2010年12月、PCI DSS Version1.2の認証を取得した。両社では予備審査などは実施せず、2010年12月にQSAによるオンサイトレビューを実施。結果的に、両社とも代替コントロールは適用せずに完全準拠を果たした。PCI DSSの項目のなかで最も大変だったのが要件3の暗号化だ。同部分は準拠を果たした多くの企業が苦戦しているが、DMM.comラボ社では暗号化の仕組みを自社で開発することにより対応を行ったという。
メットライフアリコ生命保険は、2010年12月、PCI DSS Version1.2の認証を取得した。2009年7月のカード情報漏えいをうけ、さらなるセキュリティ対策の強化を図った。同社ではSOX対応などを含め、セキュリティ対策には力を入れており、PCI DSSで求められる12要件に近いことは従前から行っていたが、システムが大規模なためPCI DSSの12要件で求められていることを達成するためには、もう一歩の対応が必要になったという。
上記で紹介したいずれの企業も毎年、PCI DSSの準拠を継続しているが、常日頃の継続的な運用が大切であると捉えているところは多い。その一方で、「要件も細かく定められているため維持コストの負担が大きい」といった声もある。
ペイメントカード・セキュリティフォーラムでは、ヤフー株式会社 セントラルサービスカンパニー ID決済本部 運用部 運用技術3 リーダー 大河原 央貴氏が、PCI DSS準拠・維持への取り組み、準拠して良かったこと、PCIDSS基準へ望むことなどの講演を行う予定だ。
■安心・便利なクレジットカード決済に向けて「ペイメントカード・セキュリティフォーラムhttps://paymentnavi.com/paymentnews/26190.html