2014年7月7日8:00「伝送」「処理」「保存」のすべてカード情報の管理を回避可能な「WebPay」
ウェブペイが提供する「WebPay(ウェブペイ)」は、Webサイトに数時間で組み込み可能なAPI、最短3日の審査期間、カード情報を加盟店側で「伝送」「処理」「保存」しないセキュアな決済システムが売りとなるクレジットカード決済サービスです。
簡単に開発でき、審査期間も最短3日に短縮
2種類のトークンを提供することでセキュリティを担保
「WebPay」は、ECサイトやウェブサービス、モバイルアプリ向けのクレジットカード決済サービスです。従来の決済サービスとの違いは、よりビジネスサイクルが早くなった時代に、開発工数の時間などが足かせにならないことです。
まず、これまで数週間必要だった開発工数が実績ベースで2~6時間となります。また、審査にかかる期間も最短3営業日となっています。
セキュリティについては、漏えいの三大経路と言われている「伝送」「処理」「保存」を行わないシステムを構築しています。米国では、ペイメントカードの国際セキュリティ基準「PCI DSS」の準拠が義務化されていて刑事罰が下るなどの事例がカリフォルニア州などででています。そのため、実際にクレジットカード情報を「保持」しないにとどまらず、「処理」や「伝送」時の漏えいをなくすところも含めてセキュリティソリューションを提供しています。
弊社が提供しているトークンは2種類あり、1つは「サーバサイドのトークン」になります。サーバサイドのトークンは、クレジットカード情報を保持しないためのソリューションとして提供しています。例えば、クレジットカードで定期課金を行う場合、トークンに置き換えて保存します。
また、JavaScript、iOSのSDKを用意している「クライアントサイドトークン」を利用することにより、漏えいの三大経路と呼ばれる「伝送」「処理」「保存」のすべてで、カード情報の管理を回避できます。この方法は米国のカリフォルニア州ですでにデファクトとして使われているモデルとなっており、日本はもちろん世界中で採用されると考えています。
また、加盟店がPCI DSSに準拠する際、「タイプA」と呼ばれているペイメントカードを「伝送」「処理」「保存」しないで準拠する方法を採用でき、準拠項目を削減できます。
ウェブペイ自身もPCI DSSに準拠
今後も手数料や開発の見直しを進める
また、ウェブペイの設立は2013年5月、サービスのリリースが6月で、弊社自身PCI DSSに7月に準拠しました。会社設立時からPCI DSSの準備は6カ月くらいかけて行っています。PCI DSS準拠を含めてサービスの準備を進めていましたので、システムのリプレイスは必要ありませんでした。PCI DSSは英語のドキュメントが充実しており、コンサルティング等は受けずにサービスを構築しました。準拠コストもハードウェア、オンサイト監査、ASVスキャンなども含め300万円程度で済んでいます。
「WebPay」は従来、開発者向けのクレジットカード決済サービスと自称していましたが、最近ではそういう呼び方を使わなくなってきました。なぜなら、必ずしも開発者向けに特化しているわけではありません。開発は決済の導入や運用に向けコアな部分だと思いますが、最近ではスタートアップに加え、大企業のグループサイトなど、ビジネスサイクルが早い企業にも便利にご利用いただいています。実装に関しては、2~6時間で可能ですが、企業によっては1時間で終わったという話もございます。
導入については、BtoBの決済画面、モバイルアプリで物販やサービスを行うサイト、そして定期課金の3つのセグメントに力を入れています。また、手数料率についても順次、見直しを進めています。今後、従来のUIやシステムの仕様も、新しくてシンプルで、継続的に改善することにより、業界内でリーダーシップを発揮していきたいです。
※本記事は、2014年3月25日に開催された「ペイメントカード・セキュリティフォーラム」のパネルディスカッションのウェブペイ CEO 久保渓氏の内容をベースに加筆を加え、紹介しています。
