クレジットカード決済サービス『WebPay』、セキュリティ基準 PCI DSSの新バージョン3.0に完全準拠

ウェブペイ株式会社(本社：東京都品川区、代表取締役：久保 渓)は、2014年1月1日より適用開始となった国際クレジットカードブランドが定めるセキュリティ基準PCI DSSの新バージョン3.0に、2014年8月31日付けで完全準拠したことをお知らせいたします。準拠のための監査は、認定審査機関である国際マネジメントシステム認証機構により実施されました。

WebPay： https://webpay.jp/

■PCI DSSについて
クレジットカード加盟店や決済事業者が、クレジットカード情報を安全に取り扱う事を目的として策定された、クレジットカード業界の国際的なセキュリティ基準です。American Express、Discover、JCB、MasterCard、VISAの5つの国際カードブランドが共同で設立したPCI SSCにより策定され、3年の周期で基準が改定されています。

クレジットカード情報を取り扱う全ての事業者は、PCI DSSに準拠する必要があります。アメリカでは、PCI DSS準拠への法制化が進んでおり、州によってはミネソタ州のように刑事罰の規定が定められています。日本国内では、経済産業大臣から認定を受けた日本クレジット協会が、改正割賦販売法に基づき、クレジットカード加盟店や決済事業者に対してPCI DSS準拠によるクレジットカード情報保護を義務化しています(※1)。


■バージョン2.0からバージョン3.0への変更点
・Education and Awareness (教育と啓蒙)
・Increased Flexibility (柔軟性の向上)
・Security as a Shared Responsibility (共有責任としてのセキュリティ)

の3点が、PCI DSS バージョン3.0では重要視されています。「教育と啓蒙」として、セキュリティやPCI DSSについての理解をより深めてもらうため、要件の補足やガイダンスの追加などが行われています。「柔軟性の向上」として、PCI DSSの要件が要求する実装方法に柔軟性が持たされています。「共有責任としてのセキュリティ」では、ビジネスパートナーとクレジットカード情報を共有する際に、クレジットカード情報保護の責任についても共有することを要求しています。


■加盟店のPCI DSS準拠をサポートするWebPayの取り組みについて
クレジットカード加盟店でもPCI DSS準拠が必須ですが、日本国内では準拠への敷居の高さが課題となっています。WebPayでは、カード情報を加盟店のサーバ側に送信せず、カード利用者とWebPayの間でのみ通信を行う「トークン決済」(※2)という仕組みを国内で初めてクレジットカード決済事業者として提供し、利用促進を行っています。これを利用することで、カード情報を加盟店が直接扱わなくて済むため、PCI DSS準拠の際の監査項目を減らすことが可能になり、準拠への敷居を下げることができます。