2017年9月4日8:00

PCI DSSの準拠企業の中でも短期間で準拠を達成し、セキュアな発行システムを構築

Kyashでは、国内初の前払式支払手段を活用した自社システムをベースに、送金・決済アプリ「Kyash」を展開している。同社では、PCI DSS Version 3.2準拠の認定を取得するとともに、個人情報の管理が安全にできていることを証明する認証マーク「TRUSTe(トラストイー)マーク」を取得し、外部機関により高いセキュリティ体制のもとでサービスを運用している。

サービス開始時点から強固なセキュリティを意識
PCI DSS準拠のシステムはクラウド環境を利用

Kyashでは、2017年1月に金融庁より前払式支払手段(第三者型)の承認を受け、国内初の仕組みとして、個人間の無料送金アプリ「Kyash」の提供を2017年4月5日より開始している。

Kyash 代表取締役 鷹取 真一氏

「セキュリティに関する考え方として、弊社ではプロダクトの開発初期から、セキュリティエンジニアとしてホワイトハッカーを採用して、ネットワークの構築から組み込みをしてもらっています。お金を取り扱うサービスということもあり、セキュリティは最重要項目として位置付けています。」(Kyash 代表取締役 鷹取 真一氏)

Kyashでは、PCI DSSの準拠について、会社設立当初から認識しており、国際ブランドのビザ・ワールドワイド(Visa)、クレジットカード会社と連携してサービスを展開する上で、基準を満たすことは大きかったそうだ。PCI DSSは、ペイメントカードの国際セキュリティ基準であり、将来的に海外に展開する上でも基準に準拠することは重要だった。PCI DSSに準拠している企業の中には、サービス提供後に取得したケースもあるが、「弊社はユーザーが少ない規模であっても、信用を失うのは一瞬ですので、開始時点から万全を期しています」と鷹取氏は強調する。

創業当初は、プリペイドスキームでサービス提供をするかは定まっていなかった。ただ、銀行の場合、融資のチャネルがなければ持続可能なビジネスモデルにならない可能性が高く、決済までつながるようなビジネススキームを構築し、国際ブランドのネットワークを活用することで、出口を幅広く用意できると考えていた。鷹取氏は、「銀行と組んでデビットを行う選択肢もありましたが、弊社がサービスの提供主体となる形を選びました」と説明する。また、同社のサービスは海外の“プリペイドデビット”に近く、入金額の範囲でしか利用できないスキームとは異なり、クレジットカードの仕組みと連携することで、残高がゼロでも決済や送金に利用できるのも自社で構築したシステムの特徴となっている。

Kyashでは、2016年初頭からPCI DSS準拠に向けた準備を開始。当初は大手システムインテグレーターであるTISに対して、同社の「CARD×DRIVE(カード・ドライブ)」で利用するカード決済のリアルタイム通知・閲覧システムを提供する上で、接続試験、脆弱性診断を行っており、PCI DSS準拠と関連性があるかを検証した。鷹取氏は、「当時のカード決済のコアシステムの構築ノウハウを生かし、自社でプロセッシングシステムを行う仕組みを構築しました」と、当時を振り返る。

システムは「Amazon Web Services」のクラウド環境で構築している。Amazon Web ServicesでPCI DSSに準拠した例は国内でも複数あるが、プロセッシングを自社で提供し、イシュア(カード発行)の仕組みを構築したケースは国内になかったため、米国のセキュリティチームを紹介してもらうなど、Amazonの協力を得ながら対応を進めた。

同社では、決済サービスの提供に当たり、自社でクレジットカード情報を保持している。そのため、カード情報の厳格な管理は必須だ。Kyashに登録したカード番号は暗号化。PCI DSS準拠についても、スコープはシステム全体となった。

カード情報は2カ所通過するためスコープの設定で工夫
準拠にかけたコストは500万円弱

Kyashのサービスでは、イシュアとしてのサービス提供に加え、登録カードの情報に対してオーソリゼーションをかけるため、カード情報が通過するところが2つある。そのため、「どこまでスコープを決めるのか、どこまでが要件になるのかを決めるところをよく検討しました」と鷹取氏は打ち明ける。今後は、機能追加やプロダクトとして新しいサービスができた際、カード情報を連携する必要が出てくる。また、スコープが広くなる可能性も考慮しなければならない。

さらに、スタートアップのオフィス環境において、細かいセクションが必ずしも分かれていないこともあり、どこまでを作業環境とみなすのかという、取り決めもコンサル会社などと細かいすり合わせが求められた。

(書籍「ペイメントカード情報セキュリティ対策の仕組み」よりKyash準拠事例の一部を紹介)

関連記事

ペイメントニュース最新情報

ポータブル決済端末、オールインワン決済端末、スマート決済端末、新しい決済端末3製品をリリースしました(飛天ジャパン)

国内最大級のクレジットカード情報データベース(アイティーナビ)

「お金の流れを、もっと円(まる)く」決済ゲートウェイ事業のパイオニアとして、強固なシステムでキャッシュレス決済を次のステップへと推進します。(ネットスターズ)

国内最大級の導入実績を誇る決済代行事業者(GMOペイメントゲートウェイ)

決済シーンにdelight(ワクワク感)を!PCI P2PE 認定国内実績 No.1の「確かな信頼」を提供します(ルミーズ)
電子マネー、クレジット、QR・バーコード、共通ポイントなど、多数のキャッシュレス決済サービスをワンストップで提供(トランザクション・メディア・ネットワークス)
決済領域を起点に多様なビジネスニーズに応える各種ソリューションを提供(インフキュリオン)
ReD ShieldやSift等の不正検知サービスを提供し、お客様の不正対策を支援(スクデット)
BtoCもBtoBも。クレジットカード決済を導入するならSBIグループのゼウスへ。豊富な実績と高セキュリティなシステムで貴社をサポートいたします。(ゼウス)
TOPPANの決済ソリューションをご紹介(TOPPANデジタル)
多様な業界のニーズに対応した、さまざまなキャッシュレス・決済関連サービスを提供する総合決済プロバイダー(DGフィナンシャルテクノロジー)
決済業務の完全自動化を実現する「Appian」とクレジット基幹プラットフォームを合わせてご紹介!(エクサ)
チャージバック保証、不正検知・認証システムなどクレジットカード不正対策ソリューションを提供(アクル)

非対面業界唯一!!カード会社とダイレクト接続により、安心・安全・スピーディーで質の高い決済インフラサービスを提供。Eコマースの健全な発展に貢献する決済代行事業者(ソニーペイメントサービス)

stera terminalでお店のポイントがつけられる「VALUE GATE」(トリニティ)

Spayd スマートフォン、タブレットがクレジット決済端末に!(ネットムーブ)

DNPキャッシュレス 決済プラットフォームをご紹介(大日本印刷)

PAGE TOP