PR

 パブリッククラウドのIaaS(インフラストラクチャー・アズ・ア・サービス)である「Amazon Web Services(AWS)」上にクレジットカード決済システムを構築して、「PCI DSS(PCIデータセキュリティ基準)」の認証を受けた日本企業が現れた。

 クレジットカード決済システム用のセキュリティ基準であるPCI DSSの認証を2012年12月末に受けたのは、スマートフォンを使ったカード決済サービスを提供するベンチャー企業のコイニーである。ユーザー企業がAWS上に構築したシステムがPCI DSSの認証を受けた事例は、日本国内では珍しい。

 米アマゾン・ウェブ・サービスは2010年11月に、AWS自体のセキュリティについてPCI DSSの認証を受けている。そのため、ユーザー企業がAWS上にシステムを構築した場合は、ITインフラの部分については、PCI DSSの審査を受ける必要がない()。

図●コイニーが受けたPCI DSSの審査
ITインフラに使ったAWSはPCI DSSの認証を既に受けているため、アプリケーションに関する審査だけで済んだ
[画像のクリックで拡大表示]

 コイニーはAWS上に開発したクレジットカード決済のアプリケーションに関してのみ、PCI DSSの認定審査機関(QSA)による審査を受けた。コイニーを担当したQSAは、AWSが他のQSAから受けた証明書を確認することで、ITインフラを審査した。

 PCI DSSの認証を受けるためには、「データセンターへの入退館の記録や監視カメラの記録を3カ月以上保管する」といったITインフラに関する基準を満たす必要がある。これらの対策はアマゾンが行っており、コイニーはサービスを利用するだけでセキュリティ基準を満たすことができた。

 コイニーは全システムをAWS上で運用しており、オンプレミスではサーバーを一切運用していない。コイニーの佐俣奈緒子CEO(最高経営責任者)兼ファウンダーは、「ITインフラにAWSを採用することで、オンプレミスでシステムを構築するのに比べて、短期間、低コストでPCI DSSの認証を受けられた」と語る。

 コイニーは、POSレジなどを導入できない小規模店舗を主なターゲットに、iPhoneをカード決済端末化するカードリーダーやアプリケーションを提供する。iPhoneの音声端子に小型のカードリーダーを取り付け、読み込んだカード情報は専用のiPhoneアプリからAWS上の決済サーバーへ送信する。手数料率は一律4%。楽天やソフトバンクも2012年に、同種のサービスを発表している。コイニーは決済サービスを間もなく、本格的に開始する予定だ。