メールマガジン登録
Rss Twitter Facebook-f

大型加盟店のPCI DSSへの対応状況は?

2012年11月2日8:00

ペイメントナビ(payment navi)では、サイトの開設以来、中立的な立場でペイメントカードの国際セキュリティ基準である「PCI DSS」の準拠事例(準拠企業一覧のWebサイト)を紹介してきた。ここでは、ペイメントカードセキュリティフォーラムで講演するヤフーなど、これまで取材した加盟店の取り組みを取り上げる。

大手ショッピングモールのヤフーでは、「Yahoo!ウォレット」の決済環境で2008年11月にPCI DSS Ver.1.1に完全準拠した。同社では、外部コンサルティングなどの支援を受けずに、同社のスタッフが自ら計画を立て、実行する工程で審査に臨んだ。インフラ部門、開発部門、システム部門など全員現場のメンバーでチームを結成。訪問審査に向けて成果物を作成し、新規システムとしてIDS(侵入検知システム)の導入はあったが、大きなシステム投資は特になく、完全準拠を果たした。代替コントロールについては2008年に一箇所適用したが、2009年以降はすべてPCI DSSのオリジナル要件で準拠を果たしているそうだ。

国内最大手のインターネットサービスプロバイダ(ISP)であるNECビッグローブは6月、VisaのAIS認証にPCI DSS Ver.1.2の認証を取得した。2008年10月から準拠に向けて着手。1年半にわたる準備の末、国内ISPの中ではいち早く準拠を果たした。同社では、カード会員情報のみを既存のシステムから分離する形を採用。複数の代替コントロールを適用し、1年半の期間を要したがISPのなかではいち早く準拠を果たした。

ニフティでは、2009年下期からPCI DSS基準対応のシステム構築を開始している。専任のスタッフは特に設けず、日常の業務をこなしながら約70人のメンバーが対応に携わった。また、他社のコンサルティングなどは受けずに、すべて自社のスタッフで準備にあたった。同社でも準拠に向け既存のデータベースからカード会員情報を分離。これに伴い、サービス利用者のクレジットカード決済入力画面やスタッフの業務フローが変更になった。同社では準拠に向け予備審査を2009年3月、2010年3月の2回実施。結果的に代替コントロールを複数の項目で適用したが2010年8月16日付で完全準拠の認定を取得している。

ソネットエンタテインメントでは、2010 年9 月のPCI DSS Version2.0の発行に合わせて準備を開始。ISMSとPCI DSSの合同審査を行い、審査の負荷を軽減することを目指したため、両審査が同時にできるQSA(認定審査機関)を選定している。従来はISMSとプライバシーマークの社内規定は別々に作成していたが、PCI DSSを含め、すべての基準を統合したマネジメントマニュアルを作成した。結果的に同作業が一番大変だったという。代替コントロールは数箇所適用したが、事前の準備を行っていたこともあり、比較的スムーズに準拠を果たすことができたそうだ。

DMM.com社では、関連システムを請け負う関連会社のDMM.comラボ社と共に2010年12月、PCI DSS Version1.2の認証を取得した。両社では予備審査などは実施せず、2010年12月にQSAによるオンサイトレビューを実施。結果的に、両社とも代替コントロールは適用せずに完全準拠を果たした。PCI DSSの項目のなかで最も大変だったのが要件3の暗号化だ。同部分は準拠を果たした多くの企業が苦戦しているが、DMM.comラボ社では暗号化の仕組みを自社で開発することにより対応を行ったという。

メットライフアリコ生命保険は、2010年12月、PCI DSS Version1.2の認証を取得した。2009年7月のカード情報漏えいをうけ、さらなるセキュリティ対策の強化を図った。同社ではSOX対応などを含め、セキュリティ対策には力を入れており、PCI DSSで求められる12要件に近いことは従前から行っていたが、システムが大規模なためPCI DSSの12要件で求められていることを達成するためには、もう一歩の対応が必要になったという。

上記で紹介したいずれの企業も毎年、PCI DSSの準拠を継続しているが、常日頃の継続的な運用が大切であると捉えているところは多い。その一方で、「要件も細かく定められているため維持コストの負担が大きい」といった声もある。

ペイメントカード・セキュリティフォーラムでは、ヤフー株式会社 セントラルサービスカンパニー ID決済本部 運用部 運用技術3 リーダー 大河原 央貴氏が、PCI DSS準拠・維持への取り組み、準拠して良かったこと、PCIDSS基準へ望むことなどの講演を行う予定だ。

■安心・便利なクレジットカード決済に向けて「ペイメントカード・セキュリティフォーラムhttps://paymentnavi.com/paymentnews/26190.html

カード決済&リテールサービスの強化書

関連記事

You may also like
  1. 株式会社DMM.com/株式会社DMM.comラボ(2010年新規取得)
  2. PCI DSS Version 2.0に完全準拠(ゼウス)
  3. 「PCI DSS Version2.0」に完全準拠(デジタルチェック)
  4. カード情報取扱業務と決済システムがPCI DSS Ver.2.0に準拠(テレコムクレジット)
  5. アリコジャパン(2010年新規取得)
  6. PCI DSS Version2.0準拠企業に聞く~(7)スマートリンクネットワーク

ペイメントニュース最新情報

20231220_nttada
PAX Japan_Paynavi_banner

MAILMAGAZINE

無料メルマガ登録

PAYMENTNAVI LOVE

無料会員登録

remise
決済シーンにdelight(ワクワク感)を!PCI P2PE 認定国内実績 No.1の「確かな信頼」を提供します(ルミーズ)
itnavi

国内最大級のクレジットカード情報データベース(アイティーナビ)

tmn
電子マネー、クレジット、QR・バーコード、共通ポイントなど、多数のキャッシュレス決済サービスをワンストップで提供(トランザクション・メディア・ネットワークス)
infcurion3
決済領域を起点に多様なビジネスニーズに応える各種ソリューションを提供(インフキュリオン)
scudetto_logo
ReD ShieldやSift等の不正検知サービスを提供し、お客様の不正対策を支援(スクデット)
netstarslogo
「お金の流れを、もっと円(まる)く」決済ゲートウェイ事業のパイオニアとして、強固なシステムでキャッシュレス決済を次のステップへと推進します。(ネットスターズ)
feitian
現金とキャッシュレスの売上をリアルタイムに確認可能なIoTプラットフォーム「IoT Cube」/Pay BOX(飛天ジャパン)

zeus2
BtoCもBtoBも。クレジットカード決済を導入するならSBIグループのゼウスへ。豊富な実績と高セキュリティなシステムで貴社をサポートいたします。(ゼウス)
toppan
TOPPANの決済ソリューションをご紹介(TOPPANデジタル)
dgft
多様な業界のニーズに対応した、さまざまなキャッシュレス・決済関連サービスを提供する総合決済プロバイダー(DGフィナンシャルテクノロジー)
exa
決済業務の完全自動化を実現する「Appian」とクレジット基幹プラットフォームを合わせてご紹介!(エクサ)
gmopg

国内最大級の導入実績を誇る決済代行事業者(GMOペイメントゲートウェイ)

akuru
チャージバック保証、不正検知・認証システムなどクレジットカード不正対策ソリューションを提供(アクル)
rogo3

非対面業界唯一!!カード会社とダイレクト接続により、安心・安全・スピーディーで質の高い決済インフラサービスを提供。Eコマースの健全な発展に貢献する決済代行事業者(ソニーペイメントサービス)

3inc
stera terminalでお店のポイントがつけられる「VALUE GATE」(トリニティ)
netmove1_logo

Spayd スマートフォン、タブレットがクレジット決済端末に!(ネットムーブ)

dnp

DNPキャッシュレス 決済プラットフォームをご紹介(大日本印刷)

TAG
3-Dセキュア BtoB CLO EMV FeliCa HSM IC乗車券 ID決済 NCB NFC P2PE PCI DSS PCI DSS準拠事例 Pro2021 Pro2022 Pro2023 Pro2024 インバウンド キャッシュカード キャリア決済 ギフトカード クレジットカード クレジットカード会社 デビットカード トークナイゼーション プリペイドカード ポイントカード マイナンバー マーケティング モバイル モバイルペイメント 不正検知(フラウド) 個品割賦 公金決済 共通ポイント 地域通貨 外貨決済 後払い 決済端末 法人カード 海外情報 無料会員コンテンツ 越境EC 送金 電子マネー
paymentnavi-shiro

© Copyright payment navi. All Rights Reserved.

本サイトの掲載記事、写真・画像の無断転載・複製を固く禁じます。記載されているロゴや製品・システム名は各社および商標権者の登録商標・商標です。

PAGE TOP