2011年1月25日8:00 

大手ECサイト「DMM.com」運営のDMM.com社
システム委託先のDMM.comラボ社と共にPCI DSSに完全遵守
 

テレビでもおなじみのECサイト「DMM.com」を運営するDMM.com社では、関連システムを請け負う関連会社のDMM.comラボ社と共に2010年12月、PCI DSS Version1.2の認証を取得した。 

レベル1の到達前に取得を決意 

カード会員情報は自社で保持 

DMM.com社では「DMM.com」の名称でDVDレンタル、動画配信、電子書籍、PC・ゲームソフト、ファッション、家電、オークション、フラッシュマーケティングなど、さまざまな事業を展開している。同社では2008年12月にVisaからAISプログラムの説明を受け、PCI DSSの取得に向けリサーチを開始した。2009年6月にはカード会社に年間の取引件数を確認。その際は2007年4月から2008年3月までの取引件数であり、年間100~600万件を処理するレベル2の認定だった。 

DMM.com 戦略本部 マネージャー 信田治美氏

 

「お陰さまで弊社のサイトの会員数は伸びており、売上高も右肩上がりのため、レベル1の到達が当時から見えていました。また、MasterCardやJCBブランドの取り扱い件数も含めればレベル1の件数は当時から超えていたため、2009年からPCI DSSの取得に向けたリサーチを開始し、同10月にプロジェクトチームを結成しました。なお、2010年12月のPCI DSS取得時点ではレベル1加盟店となっています」(DMM.com 戦略本部 マネージャー 信田治美氏) 

PCI DSSでは業務委託先も含めた取得が求められている。DMM.com社ではDMM.comの企画や営業がメインの会社であり、システムやネットワーク、カスタマーサポートなど、業務の90%以上は関連会社のDMM.comラボ社に業務委託している。そのため、コンサルティングと審査を依頼したQSA(認定セキュリティ評価機関)からは、両社がPCI DSSに準拠する必要があるとの指摘を事前に受けた。 

同社ではSBIベリトランスとソフィア総合研究所に決済処理を委託しているが、カード会員情報自体は自社で保有している。 

「弊社では2004年11月からサイト運用を開始しており、そこから積み上げてきた会員も多く抱えています。カード決済に関するお問い合わせも24時間365日対応のカスタマーセンターで請け負っており、独自の不正検知システムも稼働しています。そのため、自社でカード会員情報を保持していないとお客様に対してのユーザビリティが落ちてしまいます」(信田氏) 

PCI DSSの審査については、基本的にカード会員情報に関わる部分に関してはDMM.comラボ社に委託していたため、DMM.com社では要件12など、部分的な対応を満たせば準拠できた。 

準拠後の負担が大きいパッチの適用とログの集約 

代替コントロールは適用せず 

一方、DMM.comラボ社では、PCI DSSの基準に基づいた大幅なシステム構築が必要となったという。まず審査対象範囲の特定の部分では、カード会員情報を既存のシステムと分離させなければならなかった。 

DMM.comラボ 制作管理部 マネージャー 前田和紀氏

 

「準拠前の状態ですと、システムが明確にセグメント化されておらず、カード会員情報と関係のない膨大な範囲が審査対象となっていましたので、システムを手直しし、カード会員情報だけ分離しました」(DMM.comラボ 制作管理部 マネージャー 前田和紀氏) 

PCI DSSはカード会員情報を守るための基準だが、「そもそもカード番号は弊社システムの多岐にわたっていますので、複数の対応を並行して行わなければいけませんでした。そのため、審査までのスケジュールのコントロールが難しかったです」とDMM.comラボ システム部アプリケーションエンジニア 坂本寛樹氏は説明する。 

PCI DSSの項目のなかで最も大変だったのが要件3の暗号化だ。同部分は準拠を果たした多くの企業が苦戦しているが、DMM.comラボ社では暗号化の仕組みを自社で開発することにより対応を行った。 

「要件6.1のセキュリティパッチの適用については、準拠する直前に、弊社側で使っているプログラム言語のバージョンを上げなければいけなかったため、影響範囲が大きかったです。今後も定期的なパッチの適用は発生するので管理の大変さも痛感しました」(坂本氏) 

DMM.comラボ システム部アプリケーションエンジニア 坂本寛樹氏

 

要件6.6についてはWAF(Web Application Firewall)を導入。また要件10のログの集約や要件11のファイル整合性監視ソフトに関してもソリューションを導入している。坂本氏は、「ログについては今後の監視面で負担が大きい」と口にする。 

なお、DMM.com社では2010年6月に対面型のレンタルショップをオープンしたため、同店舗におけるPOS決済については「自己問診」を行っている。 

DMM.com社とDMM.comラボ社では予備審査などは実施せず、2010年12月にQSAによるオンサイトレビューを実施。結果的に、両社とも代替コントロールは適用せずに完全準拠を果たした。審査やコンサルティング、ソリューションにかかった費用は数千万円に達している。 

「EC加盟店として早い段階でPCI DSSに対応したことは評価をいただいています。もちろん、ブランドなどから要請は受けていましたが、レベル2の段階でPCI DSSの準備を開始したところは少ないと思います」(信田氏) 

加盟店より先にカード会社に準拠してほしい 

2011年以降も審査は継続 

信田氏は自らPCI DSSを取得した経験から、基準を国内で浸透させるためには、まずはカード会社から先に取得を進めてほしいと指摘する。 

DMM.com 戦略本部 町 隆幸氏

 

「PCI DSSの取得により、弊社の運用フローでは、現場がカード番号を取り扱わない状態になりましたが、やり取りするカード会社とカード番号のマスク桁数に差が生じました。そのため、カード番号のやり取りはSBIベリトランスに業務委託を行い、余計なコストが発生してしまいました。カード会社は加盟店に推進する立場なので、いち早くPCI DSSに対応してほしいと感じています」(信田氏) 

DMM.com社とDMM.comラボ社では「2011年以降もPCI DSSの審査は継続していきたい」(DMM.com 戦略本部 町 隆幸氏)としている。次回の更新審査からは基準がVersion2.0となるが、大幅な変更はなく、ライフタイムサイクルが2年から3年に延長したこともプラスに働くと見ている。前田氏も、「PCI DSS取得に向けては、運用を考えた構築はしましたが、次回以降もブラッシュアップしていきたいです」と語ってくれた。 

■PCI DSS準拠企業の事例一覧へ

関連記事

ペイメントニュース最新情報

国内最大級のクレジットカード情報データベース(アイティーナビ)

モバイル決済端末 (mPOS/SmartPOS) やQRコードリーダーをOEM/ODMでご提供します。お客様に代わってセキュリティ認定も取得可能です。(飛天ジャパン)

「Alipay」「WeChat Pay」中国最大規模のオンライン決済サービス(トリニティ)

ブランドプリペイド/デビット、クレジットの基幹プラットフォームを中心にご紹介、決済事業者様のデジタルトランスフォーメーションやFintechへの取り組みを強力にご支援します。(エクサ)

SaAT ポケレジ スマートフォン、タブレットがクレジット決済端末に!(ネットムーブ)

国内ICカードシェアNo.1(大日本印刷)

国内最大級の導入実績を誇る決済代行事業者(GMOペイメントゲートウェイ)

シンクライアント型電子決済サービス(トランザクション・メディア・ネットワークス)

「ハウス電子マネー/ギフトカードサービス」のニュース、導入事例のご紹介(富士通FIP)

設立20年以上の実績を誇る決済サービスプロバイダ。クレジットカード決済をはじめ、対面・非対面問わず豊富な決済手段を取り揃え、ニーズに合わせて最適な決済方法をご提案します。(ゼウス)

決済情報コラムを好評連載中!「コンビニ収納ペーパーレス決済(番号方式)のわずかな、でも大事な違い」(NTTインターネット)

PayBWeChatPayのスマートフォン決済、信頼性の高い収納代行、送金など、様々な決済ソリューションを提供(ビリングシステム)

非対面業界唯一!!カード会社とダイレクト接続により、安心・安全・スピーディーで質の高い決済インフラサービスを提供。Eコマースの健全な発展に貢献する決済代行事業者(ソニーペイメントサービス)

クレジット・デビットカード、銀聯カード、ギフトカード、リアルタイム口座振替、ペイジーなどの様々なサービスに関するソリューションをご提供(富士通)

シンクライアント決済ソリューション「Thinc-CORE(シンクコア)」 EMVレベル2認証取得でICクレジットカード対応を実現(セイコーソリューションズ)

不正決済対策の本質と弊社のサービス提供スタンス(スクデット)

世界最大のギフト・プリペイドサービス事業者(インコム・ジャパン)

全国180社以上の導入実績を誇る「CARD CREW PLUS」(ジィ・シィ企画)

カードシステムシェア70%の実績「NET+1」、不正検知システム国内導入実績NO,1「ACEPlus」(インテリジェントウェイブ)

PAGE TOP