ヤフー株式会社がPCI DSSに完全準拠 [前編](PCI DSS対策研究所) | ScanNetSecurity
2021.10.19(火)

ヤフー株式会社がPCI DSSに完全準拠 [前編](PCI DSS対策研究所)

Yahoo!JAPANを運営するヤフー株式会社は2008年11月7日、インターネット上で提供する決済サービス「Yahoo!ウォレット」において、PCI DSS(Payment Card Industry Data Security Standard、以下PCI DSS)への完全準拠を果たしたと発表した。

特集 PCI DSS 対策研究所
yw01Yahoo!JAPANを運営するヤフー株式会社は2008年11月7日、インターネット上で提供する決済サービス「Yahoo!ウォレット」において、PCI DSS(Payment Card Industry Data Security Standard、以下PCI DSS)への完全準拠を果たしたと発表した。

PCI DSS完全準拠のポイントを、同社システム統括部、白川健一部長(写真)、リーダーの吉村耕太郎氏、江藤徳宏氏に聞いた。(部署及肩書は2008年12月11日の取材当時)

Yahoo!ウォレット
http://wallet.yahoo.co.jp/  (プレスリリース)

● Yahoo!ウォレットでのPCI DSS完全準拠を目指す

Yahoo!JAPANは、インターネットで支払い手続きや報酬の受け取りができるサービス「Yahoo!ウォレット」について、PCI DSS完全準拠の認証を取得した。

Yahoo!ウォレットは、Yahoo!JAPAN IDを取得し、個人の情報やカード情報等を登録しておくと、Yahoo! BBやYahoo!オークション、Yahoo!プレミアムなどをはじめ、ヤフー株式会社が提供する有料コンテンツの支払いに利用できる仕組みである。今年に入ってからは同社のパートナー企業でも取り扱いが開始となった。

同社でPCI DSS完全準拠の取り組みが始まったのは、国際カードのカードブランドからの働きかけがあったことに加え、昨年後半よりPCI DSSが一般のメディアやネット上のメディアで取り上げられるようになり、加盟店が取得する流れができていると聞いたことからだという。

同社ではISO27001を認証取得しているので、きちんとISMSを運用しているという自負はあったが、クレジットカードの取り扱いに特化して、客観的に準拠しているかどうかを調査するにはよい機会ではないかと考えた。しかし、コストもかかることであるため、取得のメリットについて充分検討した上で、PCI DSS完全準拠を目指すことにした。

● ISMSでの経験を活かしてPCI DSS準拠への活動開始

最初は、監査手順書について、「要件そのものが何を目的に書かれているのだろうか」と解釈するところから始まった。英語を日本語に直してあるため分かりにくい箇所もあり、「こういう解釈で進んでいいのだろうか」という不安もあったという。今回は、コスト面を考慮し、コンサルタントを入れず自社でインターネットや書籍で情報収集を進めていった。また、既に構築されていたISMSの仕組みやノウハウを活かした点も多かったという。

白川氏は、「要件については、弊社ではトレーニングの受講やISMSのノウハウを活かした解釈で、今回は準拠することができましたが、ノウハウや経験のない企業にとっては要件の字面だけをみて理解をすることは厳しいところがあるのではないでしょうか。特に要件12『情報セキュリティポリシーの整備』についてはISMSの経験がなかったらできていなかったのではないかと思います。

PCI DSSでは実装の指標となる値や設定が明確に要求されていることもあって、技術部門が主幹になって動くところが多いのではないかなと思います。そういうときにISMSを取得していない組織にとってはとても苦労する部分ではないかと思います。そこまで詳細な部分まで見られるとは私たちは正直思っていませんでした。」と語る。

逆に言えば、ISMSを取っていれば本来一番難しいところがむしろ最も簡単に準備できてしまう要件になるとも言える。

また、PCI DSS準拠の難しい点として、データの保存があげられるが、同社の場合はもともと「データの暗号化」が社内ルールとしてあったため、その辺りに苦労はあまりなかったという。

「むしろデータの保持年限という点で難しい点がありました。法律もいろいろあります。会社法やその他の情報…どれを適用したらいいのか、いまだにはっきりした答えがないとも思うのですが、一方ではPCI DSSの方がむしろ保存期間が短いということも見受けられました。米国では一定の基準で切ってしまうのかもしれませんが、日本では商取引の記録ですとか、カード番号は商取引の記録に関わるのだろうかなどと悩む部分でした。」(吉村氏)

監査要件に関しては、解釈単位で拾っていって、不適合が出そうな部分はそこで把握し、解決して進めていった。ISMS審査を担当する情報セキュリティ本部の担当者を加え、各要件に対する回答内容を集めた想定問答集を作成した。 さらにそれを使った審査のリハーサルを実施し、審査がスムーズに進むよう準備を行った。審査までの準備期間は、2008年5月に始まったトレーニング受講から、5ヶ月を要した。(後編につづく)

(※本記事は、Yahoo!ウォレットのPCI DSS完全準拠時のQSA企業 BSIマネジメントシステム ジャパン株式会社のウェブサイトに掲載された記事を、同社の厚意のもと一部を加筆して転載しました)
《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

★★10/8~11/30迄 創刊23周年記念価格提供中★★
★★10/8~11/30迄 創刊23周年記念価格提供中★★

2021年10月8日(金)~11月30日(火) の間 ScanNetSecurity 創刊23周年記念価格で提供。

×