株式会社J-Payment(2010年新規取得)

2010年7月27日 08:30

6カ月の短期間でPCI DSSに完全準拠
社内のセキュリティに対する意識をワンランク高める

決済代行事業者のJ-Paymentは2010年3月、PCI DSS Ver.1.2に完全準拠した。同社ではPCI DSSの取得を契機にセキュリティ面でもカード業界をリードしていきたいと意気込んでいる。

苦労した要件は3と10

時間を割いたのは文書類の作成と整備

J-Paymentの設立は2000年。クレジット、電子マネー、コンビニ決済などの決済代行事業はもちろん、SEO対策やリスティング代行サービスなどのマーケティング事業、サイト制作・物流・Alipay決済などを一貫して提供する中国進出事業など、幅広くビジネスを展開している。今後はECサイトの売上向上を促進するサービス展開も進めている。決済代行事業での加盟店数、トランザクション数は非公表だが、VisaのAISのサービスプロバイダのレベル1(30万件以上の取引を伝送、処理、保存)に該当する。創業時からセキュリティ対策に力を入れており、セキュリティポリシーの整備をはじめ、技術的・物理的・運用上のセキュリティなどを確保するために定められた業界最高レベルの基準への対応は必須と考え、PCI DSSの取得を決意したという。

ペイメント事業本部 カスタマーサポート部 部長 川本圭祐氏

PCI DSSの名前を意識したのは徐々にPCI DSSの名前が広まった2008年秋頃。その後、アクワイアリング(加盟店開拓)を行うカード会社からの要請により本格的に検討を始めた。まずはPCI DSS Ver.1.1自己問診などの簡易的な診断を行い、2009年夏にはPCI DSS Ver.1.2準拠に向け、国内でQSA(認定セキュリティ評価機関)、コンサルティングを行う数社に見積りを依頼。QSAの選定を行うとともに、同社システム部、管理部などから、10名弱のプロジェクトチームを結成した。

同社ではプライバシーマークを取得するなど一定のセキュリティ基準は設け、PCODSSver1.1の自己問診までは行っていたが、PCI DSS Ver.1.2のオンサイト審査自体初めての経験だった。そのため、「想像以上に自社のセキュリティ基準をPCI DSS Ver.1.2に対応させるのは大変でした」とペイメント事業本部 カスタマーサポート部 部長 川本圭祐氏は振り返る。今回の審査では人的コストと経済的コストの負担を考え、自社のシステムを刷新せず、既存の基幹システムをPCI DSSの基準に合わせる形をとっている。

「12月に予備調査を実施しましたが、その時の指摘事項の多さには唖然としました(笑)。今年3月の審査までは求められるタスクをただひたすらクリアしていきました」(ペイメント事業部 システム部 部長 藤田浩一氏)

代替コントロールは5つの要件に適用。特に大変だったのが要件3の暗号化部分と要件10のログの集約だ。要件3の暗号鍵の管理はアクセスコントロールを厳密にすることで対応し、要件10に関しては大量のログデータを一カ所に集約するために、自社で独自のソフトウェアをつくり込んだ。

準拠に向けて特に時間を割いたのは文書類の作成と整備を行ったあと運用に乗せることだったが、社内での教育を進め、来年度の審査以降も対応しやすいようにルーチン化を行った。要件6.6項は、脆弱性診断を実施。要件11のぺネトレーションテストは外部企業に委託している。

新規のシステムとしてはアンチウィルスソフトウェア、IDSや改ざん検知システムなどを導入。準拠には1,000万円以上のコストがかかったが、予備調査後、3カ月の準備を経て3月に完全準拠を達成した。結果的には昨年9月の着手後、わずか半年で基準への対応を果たしたことになる。

PCI DSSは決済代行事業者選定の判断基準に

来年度はセキュリティレベルを1段階上げる

ペイメント事業部 システム部 部長 藤田浩一氏

PCI DSS準拠後は加盟店からの引き合いが増えるなど、営業面でもプラスに働いている。「PCI DSSの取得有無は加盟店の決済代行事業者選定の1つの判断基準になっています。準拠後は弊社のシステムを利用されているお客さまからもPCI DSS取得に関しての相談をいただくようになりました。何よりも大きかったのは弊社内でのセキュリティに対する意識付けをワンランクアップできたことです」(川本氏)

来年度の審査に向けては「セキュリティレベルをさらにもう一段階上げたい」と藤田氏は意気込む。具体的には今回代替コントロールを活用した暗号化への対応、要件6.6項に関してはWAF(Web Application Firewall)の導入も検討している。今回の審査では特定のメンバーのみでの対応となったが、今後は「社員全員がPCI DSSの基準を共有する」ことも視野に入れている。

■PCI DSS準拠企業の事例一覧へ

関連記事

ペイメントニュース最新情報

国内最大級のクレジットカード情報データベース(アイティーナビ)

チャージバック保証、不正検知・認証システムなどクレジットカード不正対策ソリューションを提供(アクル)
PayBやWeChatPay/Alipay等のスマートフォン決済、 リアルタイム口座振替、信頼性の高い収納代行、送金など、 様々な決済ソリューションを提供(ビリングシステム)

モバイル決済端末 (mPOS/SmartPOS) やQRコードリーダーをOEM/ODMでご提供します。お客様に代わってセキュリティ認定も取得可能です。(飛天ジャパン)

SaAT ポケレジ スマートフォン、タブレットがクレジット決済端末に!(ネットムーブ)

「Alipay」「WeChat Pay」中国最大規模のオンライン決済サービス(トリニティ)

ブランドプリペイド/デビット、クレジットの基幹プラットフォームを中心にご紹介、決済事業者様のデジタルトランスフォーメーションやFintechへの取り組みを強力にご支援します。(エクサ)

国内ICカードシェアNo.1(大日本印刷)

国内最大級の導入実績を誇る決済代行事業者(GMOペイメントゲートウェイ)

シンクライアント型電子決済サービス(トランザクション・メディア・ネットワークス)

「ハウス電子マネー/ギフトカードサービス」のニュース、導入事例のご紹介(富士通FIP)

設立20年以上の実績を誇る決済サービスプロバイダ。クレジットカード決済をはじめ、対面・非対面問わず豊富な決済手段を取り揃え、ニーズに合わせて最適な決済方法をご提案します。(ゼウス)

決済情報コラムを好評連載中!「コンビニ収納ペーパーレス決済(番号方式)のわずかな、でも大事な違い」(NTTインターネット)

非対面業界唯一!!カード会社とダイレクト接続により、安心・安全・スピーディーで質の高い決済インフラサービスを提供。Eコマースの健全な発展に貢献する決済代行事業者(ソニーペイメントサービス)

クレジット・デビットカード、銀聯カード、ギフトカード、リアルタイム口座振替、ペイジーなどの様々なサービスに関するソリューションをご提供(富士通)

シンクライアント決済ソリューション「Thinc-CORE(シンクコア)」 EMVレベル2認証取得でICクレジットカード対応を実現(セイコーソリューションズ)

不正決済対策の本質と弊社のサービス提供スタンス(スクデット)

世界最大のギフト・プリペイドサービス事業者(インコム・ジャパン)

全国180社以上の導入実績を誇る「CARD CREW PLUS」(ジィ・シィ企画)

カードシステムシェア70%の実績「NET+1」、不正検知システム国内導入実績NO,1「ACEPlus」(インテリジェントウェイブ)

PAGE TOP