日本の電子商取引は､安全対策に問題がある 簡単な手口でカード情報を盗むことが可能

ベネッセコーポレーションや日本年金機構など、個人情報の大規模な漏えい事件が相次ぐ中で、情報セキュリティに対する関心が高まっていることは確かだ。

東証マザーズ上場のASJは「PCIDSSバージョン3.0」のレベル1準拠認定を取得したとのニュースリリース発表（6月9日付け）をきっかけに株価がストップ高を記録。「投資家からの問い合わせが相次いだ」（仁井健友・取締役IR部長）という。

同基準の準拠認定取得のためには、約400の小項目をすべて満たさなければならない。同社の場合、11年から脆弱性スキャンテストや認定審査機関によるオンサイト審査といった労力のかかるチェックを受けており、今回、新たに定められたPCIDSSバージョン3.0レベル1の取得にこぎつけた。

ASJでは同基準をクリアするために、セキュリティ対策に関する文書化や「ペネトレーション（侵入）テスト」の準備に相当な労力と時間を費やした。その一方で決済代行業を事業の柱にしようとしている同社にとって、「Eコマースの事業者からの引き合いも相当な数にのぼるなど、認定取得のアナウンスメント効果は大きい」（仁井氏）という。

ヤフーは早くからPCIDSS準拠に取り組み

Eコマース大手のヤフーは、早くからPCIDSS準拠に取り組んできた企業の一つだ。加藤誠・決済金融カンパニー開発本部部長は、「当社のような大手ネット企業にとって、PCIDSS準拠取得は当然のことと認識している」と話す。

同社の「Yahoo！ウォレット」は、支払いのためのクレジットカードや銀行口座を登録することで、オンラインショッピングやネットオークションなどでスムーズな利用ができる。現在、利用者は3000万人を超える日本でも屈指の決済システムで、そのうち7～8割がクレジットカード決済になっているという。

ヤフーは2008年11月にYahoo！ウォレットの決済環境でPCIDSSバージョン1.1の準拠を取得。それ以降もPCIDSSのバージョンアップごとに取得を重ねており、今年秋には3.0レベル1を取得したいとしている。同社では、カード情報の暗号化やカード番号を保管するデータベースにアクセスできる社員を限定するなど、PCIDSSで定められた取り決めにのっとった業務運営をしている。