2017年9月4日8:00

PCI DSSの準拠企業の中でも短期間で準拠を達成し、セキュアな発行システムを構築

Kyashでは、国内初の前払式支払手段を活用した自社システムをベースに、送金・決済アプリ「Kyash」を展開している。同社では、PCI DSS Version 3.2準拠の認定を取得するとともに、個人情報の管理が安全にできていることを証明する認証マーク「TRUSTe(トラストイー)マーク」を取得し、外部機関により高いセキュリティ体制のもとでサービスを運用している。

サービス開始時点から強固なセキュリティを意識
PCI DSS準拠のシステムはクラウド環境を利用

Kyashでは、2017年1月に金融庁より前払式支払手段(第三者型)の承認を受け、国内初の仕組みとして、個人間の無料送金アプリ「Kyash」の提供を2017年4月5日より開始している。

Kyash 代表取締役 鷹取 真一氏

「セキュリティに関する考え方として、弊社ではプロダクトの開発初期から、セキュリティエンジニアとしてホワイトハッカーを採用して、ネットワークの構築から組み込みをしてもらっています。お金を取り扱うサービスということもあり、セキュリティは最重要項目として位置付けています。」(Kyash 代表取締役 鷹取 真一氏)

Kyashでは、PCI DSSの準拠について、会社設立当初から認識しており、国際ブランドのビザ・ワールドワイド(Visa)、クレジットカード会社と連携してサービスを展開する上で、基準を満たすことは大きかったそうだ。PCI DSSは、ペイメントカードの国際セキュリティ基準であり、将来的に海外に展開する上でも基準に準拠することは重要だった。PCI DSSに準拠している企業の中には、サービス提供後に取得したケースもあるが、「弊社はユーザーが少ない規模であっても、信用を失うのは一瞬ですので、開始時点から万全を期しています」と鷹取氏は強調する。

創業当初は、プリペイドスキームでサービス提供をするかは定まっていなかった。ただ、銀行の場合、融資のチャネルがなければ持続可能なビジネスモデルにならない可能性が高く、決済までつながるようなビジネススキームを構築し、国際ブランドのネットワークを活用することで、出口を幅広く用意できると考えていた。鷹取氏は、「銀行と組んでデビットを行う選択肢もありましたが、弊社がサービスの提供主体となる形を選びました」と説明する。また、同社のサービスは海外の“プリペイドデビット”に近く、入金額の範囲でしか利用できないスキームとは異なり、クレジットカードの仕組みと連携することで、残高がゼロでも決済や送金に利用できるのも自社で構築したシステムの特徴となっている。

Kyashでは、2016年初頭からPCI DSS準拠に向けた準備を開始。当初は大手システムインテグレーターであるTISに対して、同社の「CARD×DRIVE(カード・ドライブ)」で利用するカード決済のリアルタイム通知・閲覧システムを提供する上で、接続試験、脆弱性診断を行っており、PCI DSS準拠と関連性があるかを検証した。鷹取氏は、「当時のカード決済のコアシステムの構築ノウハウを生かし、自社でプロセッシングシステムを行う仕組みを構築しました」と、当時を振り返る。

システムは「Amazon Web Services」のクラウド環境で構築している。Amazon Web ServicesでPCI DSSに準拠した例は国内でも複数あるが、プロセッシングを自社で提供し、イシュア(カード発行)の仕組みを構築したケースは国内になかったため、米国のセキュリティチームを紹介してもらうなど、Amazonの協力を得ながら対応を進めた。

同社では、決済サービスの提供に当たり、自社でクレジットカード情報を保持している。そのため、カード情報の厳格な管理は必須だ。Kyashに登録したカード番号は暗号化。PCI DSS準拠についても、スコープはシステム全体となった。

カード情報は2カ所通過するためスコープの設定で工夫
準拠にかけたコストは500万円弱

Kyashのサービスでは、イシュアとしてのサービス提供に加え、登録カードの情報に対してオーソリゼーションをかけるため、カード情報が通過するところが2つある。そのため、「どこまでスコープを決めるのか、どこまでが要件になるのかを決めるところをよく検討しました」と鷹取氏は打ち明ける。今後は、機能追加やプロダクトとして新しいサービスができた際、カード情報を連携する必要が出てくる。また、スコープが広くなる可能性も考慮しなければならない。

さらに、スタートアップのオフィス環境において、細かいセクションが必ずしも分かれていないこともあり、どこまでを作業環境とみなすのかという、取り決めもコンサル会社などと細かいすり合わせが求められた。

(書籍「ペイメントカード情報セキュリティ対策の仕組み」よりKyash準拠事例の一部を紹介)

関連記事

ペイメントニュース最新情報

国内最大級のクレジットカード情報データベース(アイティーナビ)

チャージバック保証、不正検知・認証システムなどクレジットカード不正対策ソリューションを提供(アクル)
PayBやWeChatPay/Alipay等のスマートフォン決済、 リアルタイム口座振替、信頼性の高い収納代行、送金など、 様々な決済ソリューションを提供(ビリングシステム)

モバイル決済端末 (mPOS/SmartPOS) やQRコードリーダーをOEM/ODMでご提供します。お客様に代わってセキュリティ認定も取得可能です。(飛天ジャパン)

SaAT ポケレジ スマートフォン、タブレットがクレジット決済端末に!(ネットムーブ)

「Alipay」「WeChat Pay」中国最大規模のオンライン決済サービス(トリニティ)

ブランドプリペイド/デビット、クレジットの基幹プラットフォームを中心にご紹介、決済事業者様のデジタルトランスフォーメーションやFintechへの取り組みを強力にご支援します。(エクサ)

国内ICカードシェアNo.1(大日本印刷)

国内最大級の導入実績を誇る決済代行事業者(GMOペイメントゲートウェイ)

シンクライアント型電子決済サービス(トランザクション・メディア・ネットワークス)

「ハウス電子マネー/ギフトカードサービス」のニュース、導入事例のご紹介(富士通FIP)

設立20年以上の実績を誇る決済サービスプロバイダ。クレジットカード決済をはじめ、対面・非対面問わず豊富な決済手段を取り揃え、ニーズに合わせて最適な決済方法をご提案します。(ゼウス)

決済情報コラムを好評連載中!「コンビニ収納ペーパーレス決済(番号方式)のわずかな、でも大事な違い」(NTTインターネット)

非対面業界唯一!!カード会社とダイレクト接続により、安心・安全・スピーディーで質の高い決済インフラサービスを提供。Eコマースの健全な発展に貢献する決済代行事業者(ソニーペイメントサービス)

クレジット・デビットカード、銀聯カード、ギフトカード、リアルタイム口座振替、ペイジーなどの様々なサービスに関するソリューションをご提供(富士通)

シンクライアント決済ソリューション「Thinc-CORE(シンクコア)」 EMVレベル2認証取得でICクレジットカード対応を実現(セイコーソリューションズ)

不正決済対策の本質と弊社のサービス提供スタンス(スクデット)

世界最大のギフト・プリペイドサービス事業者(インコム・ジャパン)

全国180社以上の導入実績を誇る「CARD CREW PLUS」(ジィ・シィ企画)

カードシステムシェア70%の実績「NET+1」、不正検知システム国内導入実績NO,1「ACEPlus」(インテリジェントウェイブ)

PAGE TOP