• BSI ジャパン ホームページ
•   マネジメントシステム認証審査登録
•   規格/スキーム
•   PCI DSS　カードデータ
•   PCI DSS 認証事例
•   Yahoo!JAPAN PCI DSS認証事例

• マネジメントシステム認証審査登録
  • BSIグループとは
  • BSIのサービス
  • BSIを選ぶ理由
  • ビジネス上の課題
  • 見積り･プロファイルフォーム
  • 認証範囲の拡大・変更・縮小の場合
  • 規格/スキーム
    • ISO9001
    • AS9100
    • ISO14001
    • JIS Q15001
    • ISO27001
    • OHSAS18001
    • ISO22000 食品安全マネジメントシステム
    • FSSC22000　食品安全
    • ISO20000　ITサービス
    • ISO13485　医療機器
    • ISO/TS16949　自動車
    • PAS99　統合
    • 東京都排出量取引制度
    • ISO50001エネルギーマネジメント
    • BS 8901/ISO20121（イベント・サステナビリティマネジメントシステム）
    • GHGEV　温室効果ガス
    • CSR/サステナビリティ
    • 森林認証制度 - FSC認証制度 CoC認証
    • BS25999/ISO22301　事業継続
    • BCMセルフアセスメントツール
    • PCI DSS　カードデータ
      • PCI DSS 認証事例
        • SMBCファイナンスサービス PCI DSS認証事例
        • Yahoo!JAPAN PCI DSS認証事例
      • PCIDSS概要解説セミナー
      • PCI DSSに関する動向
    • ISO10002 苦情対応
    • ISO29990 学習
  • BSIジャパンの無料セミナー(参加費無料）
  • BSIジャパンの無料オンラインセミナー（ウェビナー）
  • BSIジャパンの有料セミナー
  • BSI ニュース
  • 認証顧客の検索
  • BSI 資料請求/資料ダウンロード
  • BSI お客様事例
• 審査費用見積り・プロファイルフォーム
• ISO研修・ISOセミナー
• 医療機器、製品認証サービス

Yahoo株式会社がPCI DSSに完全準拠

Yahoo!JAPANを運営するヤフー株式会社は、インターネット上で提供する決済サービス「Yahoo!ウォレット」において、PCI DSSに完全準拠した。　

• レベル1での準拠
• レベル1での準拠
• ISMSの経験が
• ISMSの経験が
• メリット
• メリット
• 今後の課題
• 今後の課題

Yahoo!JAPANを運営するヤフー株式会社 (以下Yahoo!JAPANまたは同社)は、インターネット上で提供する決済サービス「Yahoo!ウォレット」において、PCI DSS（Payment Card Industry Data Security Standard、以下PCI DSS）への完全準拠を果たした。

今回Yahoo!JAPANが認証を得たのは、PCI DSS審査の中でも求められる要件が最も厳しい、取引件数の多い加盟店向けの「レベル1」においてである。 Yahoo!JAPANでは、これまでも、同社グループが行うすべての業務を対象に、ISO/IEC27001、情報セキュリティマネジメントシステム（ISMS）適合性評価制度、データベースの情報漏えいを監視するシステムでは国内初となる情報セキュリティ認証基準ISO/IEC15408の認証を取得、個人情報管理を技術と体制の両面から積極推進している。

今回は、Yahoo!JAPANのシステム統括部より、白川健一部長、リーダーの吉村耕太郎氏並びに江藤徳宏氏にご参加いただきPCI DSS完全準拠のポイントなどについてお話しを伺った。

Yahoo!ウォレットでのPCI DSS完全準拠を目指す

Yahoo!JAPANでは、インターネットでお支払い手続きや報酬の受け取りができるサービスYahoo!ウォレットについてPCI DSS完全準拠の認証を取得した。

Yahoo!ウォレットは、Yahoo!JAPAN IDを取得し、個人の情報やカード情報等を登録しておくと、Yahoo! BBやYahoo!オークション、Yahoo!プレミアムなどをはじめ、ヤフー株式会社が提供する有料コンテンツの支払いに利用できる仕組みである。　今年に入ってからは同社のパートナー企業でも取り扱いが開始となった。

同社でPCI DSS完全準拠の取り組みが始まったのは、国際カードのカードブランドからの働きかけがあったことに加え、2007年後半よりPCI DSSが一般のメディアやネット上のメディアで取り上げられるようになり、加盟店が取得する流れができてきていると聞いたことからという。

同社ではISO27001を認証取得しているので、きちんとISMSを運用しているという自負はあったが、クレジットカードの取り扱いに特化して、客観的に準拠しているかどうかを調査するにはよい機会ではないかと考えた。　しかし、コストもかかることであるため、取得のメリットについて充分検討した上で、PCI DSS完全準拠を目指すことにした。

→ ISMSの経験が

---

規格／スキーム

• PCI DSS: ペイメントカードデータセキュリティ基準
• ISMS: 情報セキュリティマネジメントシステム 

ISMSでの経験を活かしてPCI DSS準拠への活動開始

最初は、監査手順書について、「要件そのものが何を目的に書かれているのだろうか」と解釈するところから始まった。　英語を日本語に直してあるため分かりにくい箇所もあり、「こういう解釈で進んでいいのだろうか」という不安もあったという。　今回は、コスト面を考慮し、コンサルタントを入れず自社でインターネットや書籍で情報収集を進めていった。また、既に構築されていたISMSの仕組みやノウハウを活かした点も多かったという。

「要件については、弊社ではトレーニングの受講やISMSのノウハウを活かした解釈で、今回は準拠することができましたが、ノウハウや経験のない企業にとっては要件の字面だけをみて理解をすることは厳しいところがあるのではないでしょうか。 特に要件12『情報セキュリティポリシーの整備』についてはISMSの経験がなかったらできていなかったのではないかと思います。

PCI DSSでは実装の指標となる値や設定が明確に要求されていることもあって、技術部門が主幹になって動くところが多いのではないかなと思います。 そういうときにISMSを取得していない組織にとってはとても苦労する部分ではないかと思います。 そこまで詳細な部分まで見られるとは私たちは正直思っていませんでした。」と白川氏は語る。 逆に言えばISMSを取っていれば本来一番難しいところがむしろ最も簡単に準備できてしまう要件になるとも言える。

また、PCI  DSS準拠の難しい点として、データの保存についてあげられるが、同社の場合はもともと「データの暗号化」が社内ルールとしてあったため、その辺りに苦労はあまりなかったという。

「むしろデータの保持年限という点で難しい点がありました。　法律もいろいろあります。会社法やその他の情報・・・どれを適用したらいいのか、いまだにはっきりした答えがないとも思うのですが、一方ではPCI DSSの方がむしろ保存期間が短いということも見受けられました。　米国では一定の基準で切ってしまうのかもしれませんが、日本では商取引の記録ですとか、カード番号は商取引の記録に関わるのだろうかなどと悩む部分でした。」（吉村氏）

監査要件に関しては、解釈単位で拾っていって、不適合が出そうな部分はそこで把握し、解決して進めていった。　ISMS審査を担当する情報セキュリティ本部の担当者を加え、各要件に
対する回答内容を集めた想定問答集を作成した。 さらにそれを使った審査のリハーサルを実施し、審査がスムーズに進むよう準備を行った。　審査までの準備期間は、2008年５月に始まったトレーニング受講から、5ヶ月を要した。

→ メリットへ

---

 写真はヤフー株式会社　システム統括部　白川健一部長

PCI DSS準拠の認証取得　メリットとビジネスチャンス

SSL*１の導入などについては、今は当たり前になり、ISMSも取得企業が増えているが、「弊社はPCI DSS準拠していますので更に安全とカード会員へ安全性のアピールを謳える」とPCI DSS準拠のメリットを語る。　同社がPCI DSS準拠に際して配信したプレスリリース（2008年11月7日配信）においては、PCI DSS完全準拠とISO27001認証取得に加えて具体的な国際基準をクリアしていると述べ、セキュリティに力を入れていることを強調している。　

「インターネット上のクレジットカード決済においては、いまだ安全ではないと思っている方々が多くいらっしゃいます。　こうした方々にもっと安心感を持っていただくには何か公の裏付けが必要であると思いました。　現在は、ネット社会全体の安全性の面では『まだまだ』のように思います。漠然とした不安感というのもあるでしょう。　

例えば、メディアで一般に取り上げられる『ネット犯罪』は実際にはインターネット上での商取引で起こりうる事故とでは異なる次元のお話しなのですが、一般の消費者の方にはその差は見えにくい。　そこに対し手を打っていくための布石としてPCI DSSの取得が一つの足しになればと期待しています。」（吉村氏）

PCI  DSSはいまの段階では認知度は低いが、今後、認知度が上がってきた際には、PCI DSS準拠によるビジネス上のメリットを期待したい。　例えば、カード情報の処理が実際にどう行われているか充分に分からないままカード会員にカード情報を入力してもらっているといった加盟店に対しても準拠が求められる流れが出てきた場合、「自社でのPCI DSS対応は難しい」という加盟店等に対しては、同社がサービスを提供できる可能性も出てくる。　その一つにYahoo!ウォレットが挙げられる。　もともと危険性を予測し、カード番号をむやみに流通させないよう情報を集約させるためのツール、であるから Yahoo!ウォレットのその将来性は大きい。

→ 今後の課題へ

---

今後の課題は負荷の軽減

ISO規格では仕組みの確認が目的で、プロセスを全体的に見るため、133の項目の中でさらにそれをサンプリングする形で審査を行うが、PCI DSSについては240超の項目を一つずつ見ていくので、監査の手順も非常に具体的になっている。　またPCI DSS準拠が認証された後も、ISO規格の場合は継続審査の場合は初回審査の3分の１の審査ボリュームになるがPCI DSSの場合は基本的には毎回同じである。

「事前にトレーニングを受けておりましたが、やっぱりISMSの感覚で見ていたというのがあります。　PCI DSSはかなり細かいのだなと思いました。　毎回項目をひとつひとつ見ていく審査という特徴もあるかと思いますが、負担が大きいという部分もあり、次回に向けてこの部分をどう軽減していけるか、今後はISMSとの合同審査なども考えていきたいところです。　

日本の企業ではISMS、プライバシーマーク、PCI DSSと次々に規格や基準への準拠を求められることがあり、取らなければならない規格などが複層的になる企業は多いと思います。　そこを踏まえた上でなにか統合して『ここはこちらの規格で担保されている』というところを増やしていかないと、運用も改善も結構厳しいかなと考えます。」（吉村氏）

「わたしたち、審査を受ける側にとっては非常に長いとも取れる5日間でしたが、BSIジャパンのような審査機関にとってはかなり厳しい日程なのではないでしょうか。　あの時間内で、正確にすべてが分かるというのは、どこまで質を高めているか、チェックできる範囲を広げていけるか、といった審査のやり方にかかっていると思うんですね。」と吉村氏はBSIジャパンへの期待を語った。

またISOの規格はある程度の年数の幅を以て改訂となる感があるがが、基本的にはPCI DSSは2年ごとに基準の改正が行われる。　実際に発生するクレジットカードに関わる事故の実態といったことを踏まえると、短いスパンでの改訂も必須である。　その部分が厳しくなる分、新たな脅威に対応できるようになっていく一方で、負荷も考慮し、より審査を受けやすくしてほしいと要望を語った。

「この規格はこちらに、この規格はこちらにというのが何ヶ所も出てきてしまいますと、大変な負荷になってしまうというのがありますね。　PCI DSSに限った話ではないとは思いますがうまく有効なシステムができればと思います。」と吉村氏は語る。　今後は、PCI DSSの審査と既存のマネジメントシステムの審査とを組み合わせてどう効率化していくかが課題である。

---

 写真はヤフー株式会社　左よりシステム統括部　吉村氏,白川氏、江藤　徳宏氏

本ページ記載の情報については取材時におけるものであり、閲覧をされる時点で内容が変更されている可能性があります。あらかじめご了承ください。