2017年9月1日8:00
インターファクトリーは、クラウドECプラットフォーム「ebisumart(エビスマート)」において、PCI DSSに完全準拠したサービスを2017年10月から提供開始する予定だ。従来の「ebisumart」から決済部分を切り離し、PCI DSSに対応させることで、EC加盟店は、PCI DSSに準拠した環境でカード情報の「処理」や「通過」を行うため、よりセキュリティを強化できる。また、PCI DSSの準拠もより容易になるそうだ。
決済部分を従来の「ebisumart」から分離
カスタマイズの自由度を保ったまま決済セキュリティを強化
インターファクトリーは、クラウド・SaaS型ECサイト構築システム「ebisumart」を提供している。従来のEC業界の主流はパッケージもしくはASPだが、SaaSの仕組みを採用した柔軟性のあるサービスとして、国内屈指の400社超での採用実績がある。
経済産業省と日本クレジット協会が公表した「クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画」では、非対面のEC加盟店において、ペイメントカード情報保護の国際基準であるPCI DSSに準拠するか、クレジットカード情報を完全非通過にするかの対策が求められる。
「ebisumart」では、リンク型の決済サービスおよびトークンサービスを提供しているが、「クラウドECプラットフォームとして弊社がPCI DSSに準拠することで、EC加盟店はPCI DSSに準拠した環境で『処理』や『通過』を行うことができ、実行計画の要請をクリアすることができないかと考えました」と、インターファクトリー パートナーアライアンスチーム兼ECコンシェルジュチーム リーダー 曳地健一氏は説明する。
実行計画は2016年2月に発表されたが、インターファクトリーではその後検討を行い、2016年9月から実際の準備に取りかかった。準拠に向け、『ebisumart』のシステム全体、決済部分を切り離して対応する両方を検討したが、仮にシステム全体に準拠範囲が及ぶとなると、EC加盟店が使うサービスに制約が出てくる。そのため、決済部分のみ、PCI DSSに準拠したクラウドプラットフォームを採用して、従来の『ebisumart』から独立して対応することになった。これにより、EC加盟店は個別カスタマイズを実現しながらも、クレジットカード番号が通過する可能性があるインフラ環境のもとでの決済処理を実現可能だ。
「ebisumart」はSaaS型のサービスのため、EC加盟店は基幹システム、物流システム、POSシステム、コールセンターなどと接続し、個別カスタマイズが可能だ。仮にシステム全体で準拠するとなると、各行との接続は制限され、その自由度を損なう可能性がある。また、PCI DSS準拠の際は、委託先企業等にも影響が出てくるが、決済画面は分離されるため、その心配も無いそうだ。
PCI DSSに準拠したクラウドプラットフォームを利用
代替コントロールは適用せずに準拠
実際の準拠に向けては、対象範囲を決済部分に狭めることができたこと、PCI DSSに準拠したクラウドプラットフォームを利用したため、スムーズな対応が可能となり、準拠の負荷を軽減できた。曳地氏は、「弊社で細かい要件に1つ1つの要件に対応するよりも、クラウドプラットフォームを利用することで、スムーズな準拠が実現できました」と語り、笑顔を見せる。
(書籍「ペイメントカード情報セキュリティ対策の仕組み」よりインターファクトリー準拠事例の一部を紹介)
