2013年1月22日8:00

Yahoo!ウォレットのPCI DSS準拠への取り組み

ヤフーが運営する国内最大級のポータルサイト「Yahoo!JAPAN」では、ユーザーがオンラインサービスを安全に楽しく利用するために「Yahoo!ウォレット」の決済環境で、2008年11月にPCI DSSを取得後、毎年準拠を継続しています。

2008年から5年連続でPCI DSSに準拠
現場のメンバーを中心にプロジェクトチームを結成

「Yahoo!ウォレット」は、2004年からヤフーが提供するサービスで、クレジット番号や銀行口座の支払い情報を登録することで、Yahoo!BB、オークション、プレミアム、Yahoo!ショッピングやパートナーサイトでの支払いが行えます。現在、2,400万IDの登録があり、多くの方がクレジットカードを決済手段としてご利用いただいています。

PCI DSS準拠までの道のり

ペイメントカードの国際セキュリティ基準である「PCI DSS」について最初の要請を受けたのは2006年で、VisaからAIS準拠の要請がありました。しかし、当時は準拠するメリットが見いだせなかったため、特に何もアクションを起こしませんでした。コストをかけて準拠しても対外的に評価されない規格であれば意味がありません。また、ヤフーでは、2004年からISMS認証を取得し、厳しい社内セキュリティ基準も制定していました。

転機は2007年で、改正割賦販売法にカード情報保護について盛り込まれる見通しとなり、PCI DSSの調査を開始しました。2008年5月からプロジェクトを開始し、同10月に準拠を果たしています。その後、毎年審査を継続しており、現在はVersion2.0に準拠しています。

プロジェクト実行前の準備としては、誰が何をすればいいのか、コストをかけて実施することの理解を得ることが必要でした。また、設備投資、要件解釈セミナーの受講、訪問審査の費用についての予算を確保し、準拠に向けた取り組みを進めました。さらに、外部の支援を受けずに準拠する方針を掲げています。プロジェクトチームは、セキュリティやコンプライアンスなどの部門ではなく、フロント、バックエンド、インフラなど、現場のメンバーで結成されました。

セキュリティレベルの客観的な証明に効果
準拠、維持コストの軽減を望む

準拠に向けては、要件解釈セミナーの受講に加え、先行取得企業からのヒアリングにより、審査の内容についてリサーチし、掲げた方針を守れるかを確認しています。また、PCI DSSの要件の中でどの項目に対応できていないのかを確認しました。その結果、当初は40以上の要件に対応できていませんでした。基本的にできるところまでは頑張りましたが、どうしても無理な部分は割り切って諦めました。

審査に向けての成果物としては、「課題管理票」で未対応要件の見える化を行い、要件、対応方針、担当者、ステータスを記載しました。また、ルールや手順書を社内共有のファイルサーバに配置しています。さらに、それぞれの要件について回答内容と回答者を決定し、リハーサルを実施しました。また、「想定問答集」や手順書、ルールなどを決め、当日の審査を想定したリハーサルも行い、審査においては章ごとに誰が審査に立ち会うかを決定しました。

準拠後の対応として、PCI DSSの審査は年に1回ですが、通年での事務局運営として課題管理や定期的なタスクの実施確認を行っています。また、PCI DSSのバージョンアップの内容を確認しています。加えて、対応メンバーの増強や要件に対する規定、手順、記録の整備を実施しています。

PCI DSSに準拠してよかったことは、セキュリティレベルの客観的な証明に効果があるということです。PCI DSSは要件が具体的で公開されていますので、基準に準拠していることを広くアピールできます。また、PCI DSSに準拠した「Yahoo!ウォレット」の安全性を利用者向けページなどで訴求できます。さらに、各種セミナーやメディア等を通じてのPRも可能です。

ISMSとの比較としては、ISMSはリスクに見合いで策定した基準であれば問題ありませんが、PCI DSSは要件が具体的で記載項目と同様のことを満たす必要があります。そのため、客観的な要件になりにくく、ISMSの弱点を補う効果もあります。

今後、PCI DSSに期待することは、加盟店への負担軽減です。弊社ではISMSに基づく厳しい社内セキュリティ基準で運用されていたため、投資コストを抑えることに成功しました。また、開発部隊も社内で抱えていたため、迅速かつ低コストで対応できていますが、一般の企業ではかなりの負担になると思われますので、投資・運用コストの軽減に期待しています。さらに、2年目以降の審査の簡略化も挙げられます。弊社では過去5年、継続してPCI DSSに準拠していますが、システムの変更がないものを毎年1から審査しているため負担が重いのは事実です。また、各社個別の環境に応じた弾力的な審査基準、運用ができないかと考えています。

さらに、利用者への認知度の向上として、統一マークの制定、PCI DSS準拠企業がどうして安全なのかを浸透させる取り組み、目につく場所での準拠企業のPRなど、知る人ぞ知る規格から、世に広めていただきたいと期待しています。加盟店に向けても同様で、義務ではなく、費用をかけてでも準拠するメリットをわかりやすくしていただきたいと思います。

※本記事は2012年11月15日に開催された「ペイメントカード・セキュリティフォーラム」のヤフー セントラルサービスカンパニー ID決済本部 運用部 運用技術3 リーダー 大河原 央貴氏の講演をベースに加筆を加え、紹介しています。

関連記事

ペイメントニュース最新情報

ポータブル決済端末、オールインワン決済端末、スマート決済端末、新しい決済端末3製品をリリースしました(飛天ジャパン)

国内最大級のクレジットカード情報データベース(アイティーナビ)

「お金の流れを、もっと円(まる)く」決済ゲートウェイ事業のパイオニアとして、強固なシステムでキャッシュレス決済を次のステップへと推進します。(ネットスターズ)

国内最大級の導入実績を誇る決済代行事業者(GMOペイメントゲートウェイ)

決済シーンにdelight(ワクワク感)を!PCI P2PE 認定国内実績 No.1の「確かな信頼」を提供します(ルミーズ)
電子マネー、クレジット、QR・バーコード、共通ポイントなど、多数のキャッシュレス決済サービスをワンストップで提供(トランザクション・メディア・ネットワークス)
決済領域を起点に多様なビジネスニーズに応える各種ソリューションを提供(インフキュリオン)
ReD ShieldやSift等の不正検知サービスを提供し、お客様の不正対策を支援(スクデット)
BtoCもBtoBも。クレジットカード決済を導入するならSBIグループのゼウスへ。豊富な実績と高セキュリティなシステムで貴社をサポートいたします。(ゼウス)
TOPPANの決済ソリューションをご紹介(TOPPANデジタル)
多様な業界のニーズに対応した、さまざまなキャッシュレス・決済関連サービスを提供する総合決済プロバイダー(DGフィナンシャルテクノロジー)
決済業務の完全自動化を実現する「Appian」とクレジット基幹プラットフォームを合わせてご紹介!(エクサ)
チャージバック保証、不正検知・認証システムなどクレジットカード不正対策ソリューションを提供(アクル)

非対面業界唯一!!カード会社とダイレクト接続により、安心・安全・スピーディーで質の高い決済インフラサービスを提供。Eコマースの健全な発展に貢献する決済代行事業者(ソニーペイメントサービス)

stera terminalでお店のポイントがつけられる「VALUE GATE」(トリニティ)

Spayd スマートフォン、タブレットがクレジット決済端末に!(ネットムーブ)

DNPキャッシュレス 決済プラットフォームをご紹介(大日本印刷)

PAGE TOP