2012年11月2日8:00

ペイメントナビ(payment navi)では、サイトの開設以来、中立的な立場でペイメントカードの国際セキュリティ基準である「PCI DSS」の準拠事例(準拠企業一覧のWebサイト)を紹介してきた。ここでは、ペイメントカードセキュリティフォーラムで講演するヤフーなど、これまで取材した加盟店の取り組みを取り上げる。

大手ショッピングモールのヤフーでは、「Yahoo!ウォレット」の決済環境で2008年11月にPCI DSS Ver.1.1に完全準拠した。同社では、外部コンサルティングなどの支援を受けずに、同社のスタッフが自ら計画を立て、実行する工程で審査に臨んだ。インフラ部門、開発部門、システム部門など全員現場のメンバーでチームを結成。訪問審査に向けて成果物を作成し、新規システムとしてIDS(侵入検知システム)の導入はあったが、大きなシステム投資は特になく、完全準拠を果たした。代替コントロールについては2008年に一箇所適用したが、2009年以降はすべてPCI DSSのオリジナル要件で準拠を果たしているそうだ。

国内最大手のインターネットサービスプロバイダ(ISP)であるNECビッグローブは6月、VisaのAIS認証にPCI DSS Ver.1.2の認証を取得した。2008年10月から準拠に向けて着手。1年半にわたる準備の末、国内ISPの中ではいち早く準拠を果たした。同社では、カード会員情報のみを既存のシステムから分離する形を採用。複数の代替コントロールを適用し、1年半の期間を要したがISPのなかではいち早く準拠を果たした。

ニフティでは、2009年下期からPCI DSS基準対応のシステム構築を開始している。専任のスタッフは特に設けず、日常の業務をこなしながら約70人のメンバーが対応に携わった。また、他社のコンサルティングなどは受けずに、すべて自社のスタッフで準備にあたった。同社でも準拠に向け既存のデータベースからカード会員情報を分離。これに伴い、サービス利用者のクレジットカード決済入力画面やスタッフの業務フローが変更になった。同社では準拠に向け予備審査を2009年3月、2010年3月の2回実施。結果的に代替コントロールを複数の項目で適用したが2010年8月16日付で完全準拠の認定を取得している。

ソネットエンタテインメントでは、2010 年9 月のPCI DSS Version2.0の発行に合わせて準備を開始。ISMSとPCI DSSの合同審査を行い、審査の負荷を軽減することを目指したため、両審査が同時にできるQSA(認定審査機関)を選定している。従来はISMSとプライバシーマークの社内規定は別々に作成していたが、PCI DSSを含め、すべての基準を統合したマネジメントマニュアルを作成した。結果的に同作業が一番大変だったという。代替コントロールは数箇所適用したが、事前の準備を行っていたこともあり、比較的スムーズに準拠を果たすことができたそうだ。

DMM.com社では、関連システムを請け負う関連会社のDMM.comラボ社と共に2010年12月、PCI DSS Version1.2の認証を取得した。両社では予備審査などは実施せず、2010年12月にQSAによるオンサイトレビューを実施。結果的に、両社とも代替コントロールは適用せずに完全準拠を果たした。PCI DSSの項目のなかで最も大変だったのが要件3の暗号化だ。同部分は準拠を果たした多くの企業が苦戦しているが、DMM.comラボ社では暗号化の仕組みを自社で開発することにより対応を行ったという。

メットライフアリコ生命保険は、2010年12月、PCI DSS Version1.2の認証を取得した。2009年7月のカード情報漏えいをうけ、さらなるセキュリティ対策の強化を図った。同社ではSOX対応などを含め、セキュリティ対策には力を入れており、PCI DSSで求められる12要件に近いことは従前から行っていたが、システムが大規模なためPCI DSSの12要件で求められていることを達成するためには、もう一歩の対応が必要になったという。

上記で紹介したいずれの企業も毎年、PCI DSSの準拠を継続しているが、常日頃の継続的な運用が大切であると捉えているところは多い。その一方で、「要件も細かく定められているため維持コストの負担が大きい」といった声もある。

ペイメントカード・セキュリティフォーラムでは、ヤフー株式会社 セントラルサービスカンパニー ID決済本部 運用部 運用技術3 リーダー 大河原 央貴氏が、PCI DSS準拠・維持への取り組み、準拠して良かったこと、PCIDSS基準へ望むことなどの講演を行う予定だ。

■安心・便利なクレジットカード決済に向けて「ペイメントカード・セキュリティフォーラムhttps://paymentnavi.com/paymentnews/26190.html

関連記事

ペイメントニュース最新情報

決済業界において30年以上の歴史を誇るシステムベンダー。ブランドプリペイド/デビット、クレジットの基幹プラットフォームをはじめ、幅広いサービスラインナップを用意。(エクサ)
モバイル決済端末(mPOS/SmartPOS)やQRコードリーダーをOEM/ODMでご提供します。お客様に代わってセキュリティ認定も取得可能です。(飛天ジャパン)

EMVCoや国際カードブランドから認定を受けた試験機関(テュフズードジャパン)

国内最大級のクレジットカード情報データベース(アイティーナビ)

ネットビジネスを始めた方が選ぶ「おすすめしたい」決済代行サービス部門No.1。クレジットカード決済が初めての方も切り替えの方も、事業者様のニーズに合わせて最適な決済方法をご提案します。(ゼウス)

Global Payment Technology Solutions(インコム・ジャパン)

シンクライアント型電子決済サービス(トランザクション・メディア・ネットワークス)

「ハウス電子マネー/ギフトカードサービス」のニュース、導入事例のご紹介(富士通Japan)

国内最大級の導入実績を誇る決済代行事業者(GMOペイメントゲートウェイ)

Spayd スマートフォン、タブレットがクレジット決済端末に!(ネットムーブ)

非対面業界唯一!!カード会社とダイレクト接続により、安心・安全・スピーディーで質の高い決済インフラサービスを提供。Eコマースの健全な発展に貢献する決済代行事業者(ソニーペイメントサービス)

PCI P2PE 認定国内実績 No.1!多様なチャネルに対応し決済の新たな未来を創 造します(ルミーズ)
QRコードを活用したパスワードレスの認証方式で不正アクセスを未然に防止 セキュリティ課題を解決する認証サービス「認証BANK QR Auth」(セイコーソリューションズ)
「法人カード調査部」法人カードのおすすめはこれだ!年会費無料・ポイント還元率・マイルなどタイプ別で厳選紹介(LITE)

オリジナルデザインで作れる、Amazonギフト券(トリニティ)

チャージバック保証、不正検知・認証システムなどクレジットカード不正対策ソリューションを提供(アクル)

国内ICカードシェアNo.1(大日本印刷)

不正決済対策の本質と弊社のサービス提供スタンス(スクデット)

カードシステムシェア70%の実績「NET+1」、不正検知システム国内導入実績NO,1「ACEPlus」(インテリジェントウェイブ)

PAGE TOP