Enterprise Watch
最新ニュース

日本NCRの決済アプリ、国内初のPA-DSS認定を取得

カード情報の取り扱いが適切とVISAが評価

日本NCR、製品・マーケティング本部 製品企画開発部長の野沢幸俊氏
 日本NCR株式会社は9月17日、同社の決済アプリケーション「NCR RealGate Payment」が、国際セキュリティ基準である「PA-DSS」の認定を国内で初めて取得したと発表した。

 NCR RealGate Paymentは、小売業などのPOSシステム上で動く決済アプリケーション。「カード以外にも電子マネー規格すべての決済に対応しているのが特長」(日本NCR、製品・マーケティング本部 製品企画開発部長の野沢幸俊氏)。カード加盟店が店舗のPOSに同製品を導入することで、顧客のカード情報を適切に取り扱うことが可能になる。

 既存のPOSアプリケーションと分離した形で導入できる。「両者が統合した形態では、既存アプリケーションのあらゆるバージョンに対してカスタマイズを行う必要性が生じ、開発費が増大してしまう。分離させることで、そのコストを抑えて導入が容易になる」(同氏)という。

 今回、NCR RealGate Paymentで、PA-DSSで定められている14の要件をクリア。国内で初めてPA-DSSの認定を受けた。具体的には、決済取引において、カード磁気情報・PIN・セキュリティコードなど、保管してはならないデータをどんな形でも残さないといったことや、レシート上のカード番号表示のけた数制限や通信とデータの暗号化、アクセス制限などに対応している。


NCR RealGate Paymentのコンセプト。カード以外の電子マネー決済などにも対応するのが特長 システム構成図。既存のPOSアプリと分離して導入できるため、カスタマイズなどの費用が抑えられる

今回の準拠対応内容。審査はNTTデータ・セキュリティが行った

加盟店がNCR RealGate Paymentを導入するメリット
 そもそもPA-DSSとは、VISAやMasterCardなどのカード会社が策定した国際カードセキュリティ基準「PCI DSS」にのっとって、消費者のカード情報を適切に取り扱うよう開発された決済アプリケーションを認定する国際基準だ。もともとはVISAが策定したPABP(Payment Application data Best Practice)という基準だったが、2008年5月にPCI DSSの運営を行う団体「PCI SSC」に移管され、PA-DSSに名を改めた。

 PCI DSSにPA-DSSと若干紛らわしいが、PCI DSSは、カード情報を取り扱う事業者が対象で、企業内システムのセキュリティにおいて、定められたセキュリティ要件をクリアすることが認定の条件。一方、PA-DSSは、POSアプリケーションベンダーが対象で、カード情報を保護するためアプリケーションに課せられる機能的要件をクリアすることが認定の条件となる。

 大きな基準としてPCI DSSの普及が進められる中、訪問審査などが必要となるが故に、すべての加盟店が準拠するのは現実的ではない。「であれば、PCI DSSと同じ枠組みの中で決済アプリケーションに対するセキュリティ基準を策定し、加盟店には認定を受けたアプリケーションを使ってもらうことで、一定のカードセキュリティ水準を達成しよう」(野沢氏)というのが、PA-DSSの目的となる。

 カード加盟店がNCR RealGate Paymentを導入することで、店舗の顧客に対して、国際セキュリティ基準に準拠したシステムを導入しているとアピールできるのがメリット。一般消費者に安心感を与えることで、「店舗やカードの利用を促進することができるし、また、POSシステムからのカード情報盗難といったセキュリティ事故を防止できるため、事故発生時のコストや社会的評価の損失などのリスクを回避できるようになる」(野沢氏)。

 「米国では、認定されたアプリケーションを使うことを義務化するような動きもある」(ビザ・インターナショナル アジア・パシフィック・リミテッド、カントリーリスクダイレクターの井原亮二氏)というPA-DSSだが、「日本でも将来的に義務化する方向で、現在検討中」(同氏)とのことで、今後、加盟店にとっては無視できない基準になる可能性がある。


NTTデータ・セキュリティ、 取締役 コンサルティング本部長の井上克至氏
 なお、PA-DSSの認定を受けるためには、「PA QSA」というアプリケーションの検証を行う機関の審査をパスしなければならない。PA QSAを定めるのもPCI SSCの役割で、すでに国内外のSIerなどが多数、PA QSAとして活動している。今回、審査を行ったPA QSAは、NTTデータ・セキュリティ。

 NTTデータ・セキュリティは、日本NCRが抽出したPA-DSS準拠に必要な項目に対して、レビューを実施。要改善項目の洗い出しや対策の有効性確認支援などを行ったのち、監査とビザへのレポート送付などを経て、今回のPA-DSS認定取得に至った。

 まだ国内では義務化されていないPA-DSSだが、「加盟店がカード会員を適切に保護するためには、PA-DSS認定済みの決済アプリケーションを利用するのが得策」と、NTTデータ・セキュリティ、 取締役 コンサルティング本部長の井上克至氏は話す。PA-DSS認定のアプリケーションを使うことが、そのままPCI DSS準拠ということにはならないが、PCI DSSの中の重要な一部をカバーすることになる。井上氏は、PA-DSSへの対応も含め「加盟店がカード情報をどう保護するかについては、自身で悩むよりも頼れるパートナーにお任せいただくことをお勧めする」とした。



URL
  日本NCR株式会社
  http://www.ncr.co.jp/
  ビザ・インターナショナル アジア・パシフィック・リミテッド
  http://www.visa-asia.com/ap/jp/
  NTTデータ・セキュリティ株式会社
  http://www.nttdata-sec.co.jp/

関連記事
  ・ DNP、VISAの認定を取得したクレジットカードの本人認証サービス(2008/08/01)
  ・ ネットワン、カードセキュリティ基準「PCI DSS」の国際標準化団体に加盟(2008/06/18)


( 川島 弘之 )
2008/09/17 15:38

Enterprise Watch ホームページ
Copyright (c) 2008 Impress Watch Corporation, an Impress Group company. All rights reserved.