2011年11月22日8:00

代替コントロールを適用せずにPCI DSS Version2.0に完全準拠
世界基準の安全な決済環境をYahoo! JAPANサイト内外で提供

ヤフー株式会社(Yahoo! JAPAN)は、約2000万人の登録者を擁する決済サービス「Yahoo!ウォレット」の決済環境において、2008年から4期連続でPCI DSSに準拠している(関連記事)。2011年は、Version2.0の審査を行い、7月に準拠証明書を取得した。

左からヤフー(株) R&D統括本部 プラットフォーム開発本部 セントラル開発1部 企画3 リーダー 吉村 耕太郎氏とR&D統括本部 プラットフォーム開発本部 セントラル開発1部 開発5 リーダー 加藤誠氏

「Version2.0は、メジャーなバージョンアップと予想しましたが、われわれにとってはそれほどインパクトがありませんでした。今年も代替コントロールを適用せずに準拠を達成することができました」(ヤフー(株) R&D統括本部 プラットフォーム開発本部 セントラル開発1部 企画3 リーダー 吉村 耕太郎氏)

要件項目は、1.2から2.0になり若干細かくなったが、常日頃から運用面で行っていることがほとんどであり、2.0だからといって苦労した点はなかったそうだ。また、「1.2からの変更点のマッピングなども難しい点はありませんでした」とヤフー(株) R&D統括本部 プラットフォーム開発本部 セントラル開発1部 開発5 リーダー 加藤誠氏は説明する。記載項目については、「1.1から1.2、2.0と改訂されるにつれて、解釈がわかりやすくなった印象があります」(吉村氏)とプラスに捉えている。

例えば、要件3.6の暗号化については、「今までは実運用上、鍵の洗い替えは要件通りに行えませんでしたが、より現実的な内容に改定された印象があります」と吉村氏は説明する。

ただ、2011年7月以降は、脆弱性を特定するプロセスにおいて、対象環境に応じたリスクランク付けのアプローチが要求されるようになっただけでなく、CVSSスコア4.0未満を推奨と厳しくなった。この部分は、次回の審査時の課題として同社でも認識している。なお、Version2.0からは仮想環境下での利用についても明記されたが、現状、同社のシステムでは仮想化は導入していない。

PCI DSSについては、バージョンの変更よりも、常日頃の継続的な運用が大切であると捉えている。同社では、2008年の審査時にIDS(侵入検知システム)を導入したが、それ以降はPCI DSS対応として新たなシステムを導入していない。もともとセキュリティに対しては、厳しいルール付けを行ってきたため、「PCI DSSだからといって、特別な運用をする必要はない」(吉村氏)と考えている。実際、代替コントロールについては2008年に一箇所適用したが、2009年以降はすべてPCI DSSのオリジナル要件で準拠を果たした。同社ではほかの事業部でもクレジットカード決済に関わるビジネスを行っているが、運用面などのルールは厳しい基準が設けられているという。

ただし、「他のEC加盟店が準拠を果たすためにゼロからシステムを構築するとなった場合、コストも時間もかかるため、準拠は容易ではありません」と吉村氏は指摘し、情報漏えいを防ぐためには決済代行事業者などにクレジットカードを預ける非保持サービスなどに切り替えることも検討する必要があると説明する。

PCI DSSについては、準拠している加盟店はまだ少なく、利用者への認知度は低いため、他社との差別化に役立っているわけではないという。しかし、同社ではYahoo!ウォレットの決済環境を「Yahoo! JAPAN」のサイト内はもちろん、「ZOZO TOWN」や「セブンネットショッピング」など外部のサイトにも広く提供しており、今後はさらにその数を増やしたいとしている。

そのため、PCI DSSに準拠した安全な決済環境であることをPRしていく方針であり、次年度以降も継続的な準拠を行っていきたいとしている。

⇒⇒特集トップへ

関連記事

ペイメントニュース最新情報

決済領域を起点に多様なビジネスニーズに応える各種ソリューションを提供(インフキュリオン)
ReD ShieldやSift等の不正検知サービスを提供し、お客様の不正対策を支援(スクデット)
「お金の流れを、もっと円(まる)く」決済ゲートウェイ事業のパイオニアとして、強固なシステムでキャッシュレス決済を次のステップへと推進します。(ネットスターズ)

国内最大級のクレジットカード情報データベース(アイティーナビ)

現金とキャッシュレスの売上をリアルタイムに確認可能なIoTプラットフォーム「IoT Cube」/Pay BOX(飛天ジャパン)

BtoCもBtoBも。クレジットカード決済を導入するならSBIグループのゼウスへ。豊富な実績と高セキュリティなシステムで貴社をサポートいたします。(ゼウス)
TOPPANの決済ソリューションをご紹介(TOPPANデジタル)
多様な業界のニーズに対応した、さまざまなキャッシュレス・決済関連サービスを提供する総合決済プロバイダー(DGフィナンシャルテクノロジー)
決済業務の完全自動化を実現する「Appian」とクレジット基幹プラットフォームを合わせてご紹介!(エクサ)

国内最大級の導入実績を誇る決済代行事業者(GMOペイメントゲートウェイ)

チャージバック保証、不正検知・認証システムなどクレジットカード不正対策ソリューションを提供(アクル)
電子マネー、クレジット、QRコード、共通ポイント、ハウスプリペイドなど、43サービスをご提供(トランザクション・メディア・ネットワークス)

非対面業界唯一!!カード会社とダイレクト接続により、安心・安全・スピーディーで質の高い決済インフラサービスを提供。Eコマースの健全な発展に貢献する決済代行事業者(ソニーペイメントサービス)

決済シーンにdelight(ワクワク感)を!PCI P2PE 認定国内実績 No.1の「確かな信頼」を提供します(ルミーズ)
stera terminalでお店のポイントがつけられる「VALUE GATE」(トリニティ)

Spayd スマートフォン、タブレットがクレジット決済端末に!(ネットムーブ)

DNPキャッシュレス 決済プラットフォームをご紹介(大日本印刷)

PAGE TOP