Yahoo!JAPANを運営するヤフー株式会社は2008年11月7日、インターネット上で提供する決済サービス「Yahoo!ウォレット」において、PCI DSS(Payment Card Industry Data Security Standard、以下PCI DSS)への完全準拠を果たしたと発表した。PCI DSS完全準拠のポイントを、同社システム統括部、白川健一部長(写真)、リーダーの吉村耕太郎氏、江藤徳宏氏に聞いた。(部署及肩書は2008年12月11日の取材当時)
Yahoo!ウォレット
http://wallet.yahoo.co.jp/ (プレスリリース)
● PCI DSS準拠の認証取得 メリットとビジネスチャンス
同社は、PCI DSS準拠のメリットのひとつとして、SSL導入が一般化し、ISMS取得企業も増えている状況の中で、クレジットカード決済の安全性を差別化してアピールできることを挙げる。同社がPCI DSS準拠に際して配信したプレスリリース(2008年11月7日配信)においては、PCI DSS完全準拠とISO27001認証取得に加えて具体的な国際基準をクリアしていると述べ、セキュリティに力を入れていることを強調している。
「インターネット上のクレジットカード決済においては、いまだ安全ではないと思っている方々が多くいらっしゃいます。こうした方々にもっと安心感を持っていただくには何か公の裏付けが必要であると思いました。現在は、ネット社会全体の安全性の面では『まだまだ』のように思います。漠然とした不安感というのもあるでしょう。
例えば、メディアで一般に取り上げられる『ネット犯罪』は実際にはインターネット上での商取引で起こりうる事故とでは異なる次元のお話しなのですが、一般の消費者の方にはその差は見えにくい。そこに対し手を打っていくための布石としてPCI DSSの取得が一つの足しになればと期待しています。」(吉村氏)
PCI DSSはいまの段階では認知度は低いが、今後、認知度が上がってきた際には、PCI DSS準拠によるビジネス上のメリットを、同社は期待している。例えば、カード情報の処理が実際にどう行われているか充分に分からないままカード会員にカード情報を入力してもらっているといった加盟店に対しても準拠が求められる流れが出てきた場合、「自社でのPCI DSS対応は難しい」という加盟店等に対しては、同社がサービスを提供できる可能性も出てくる。その一つにYahoo!ウォレットが挙げられる。もともと危険性を予測し、カード番号をむやみに流通させないよう情報を集約させるためのツールであるから Yahoo!ウォレットのその将来性は大きい。
● 今後の課題は負荷の軽減
ISO規格では仕組みの確認が目的で、プロセスを全体的に見るため、133の項目の中でさらにそれをサンプリングする形で審査を行うが、PCI DSSについては240超の項目を一つずつ見ていくので、監査の手順も非常に具体的になっている。またPCI DSS準拠が認証された後も、ISO規格の場合は継続審査の場合は初回審査の3分の1の審査ボリュームになるがPCI DSSの場合は基本的には毎回同じである。
「事前にトレーニングを受けておりましたが、やっぱりISMSの感覚で見ていたというのがあります。PCI DSSはかなり細かいのだなと思いました。毎回項目をひとつひとつ見ていく審査という特徴もあるかと思いますが、負担が大きいという部分もあり、次回に向けてこの部分をどう軽減していけるか、今後はISMSとの合同審査なども考えていきたいところです。
日本の企業ではISMS、プライバシーマーク、PCI DSSと次々に規格や基準への準拠を求められることがあり、取らなければならない規格などが複層的になる企業は多いと思います。そこを踏まえた上でなにか統合して『ここはこちらの規格で担保されている』というところを増やしていかないと、運用も改善も結構厳しいかなと考えます。」(吉村氏)
また、オンサイトレビューに関して吉村氏は、「わたしたち、審査を受ける側にとっては非常に長いとも取れる5日間でしたが、今回QSAをお願いした、BSIジャパンのような審査機関にとってはかなり厳しい日程なのではないでしょうか。あの時間内で、正確にすべてが分かるというのは、どこまで質を高めているか、チェックできる範囲を広げていけるか、といった審査のやり方にかかっていると思うんですね。」とBSIジャパンへの期待を語った。
またISOの規格はある程度の年数の幅を以て改訂となる感があるが、基本的にはPCI DSSは2年ごとに基準の改正が行われる。実際に発生するクレジットカードに関わる事故の実態といったことを踏まえると、短いスパンでの改訂も必須である。その部分が厳しくなる分、新たな脅威に対応できるようになっていく一方で、負荷も考慮し、より審査を受けやすくしてほしいと要望を語った。
「この規格はこちらに、この規格はこちらにというのが何ヶ所も出てきてしまいますと、大変な負荷になってしまうというのがありますね。PCI DSSに限った話ではないとは思いますがうまく有効なシステムができればと思います。」と吉村氏が語るように、今後はPCI DSSの審査と既存のマネジメントシステムの審査とを組み合わせてどう効率化していくかが課題だという。
(※本記事は、Yahoo!ウォレットのPCI DSS完全準拠時のQSA企業 BSIマネジメントシステム ジャパン株式会社のウェブサイトに掲載された記事を、同社の厚意のもと一部を加筆して転載しました)
![人気連載 Scan PREMIUM Monthly Executive Summary の岩{丼}先生の著作にサインいただきました [Scan PREMIUM 創刊25周年記念キャンペーン 読者特典] 画像](/imgs/std_m/43329.jpg)
