30名強の会社が得た日本初の称号。2020年に向け、カード決済の守護者へ突き進む

2017年10月31日、世界でもまだ44社、日本では“初“となるクレジットカード決済セキュリティの認定を取得した私たち。国内大手企業でも未達の認定を、なぜ規模的には小さな会社が取得できたのか。シニアプロダクトマネージャーの高田理己が語ります。カギは、常に世界へ開かれた社風にありました。
  • eight

クレジットカードのセキュリティは、まだ完璧ではない。狙うのは世界標準

Add017e204b4d95b5e355babcc91a366a696e039

2017年11月15日、ネットムーブは“日本初”のリリースを出しました。

それは、グローバル団体「PCI SSC」の定める「P2PE」という認定を2017年10月31日付けで取得したこと。そう、これが“日本初“の出来事なのです。さらにいうと、海外でも認定を取得した企業はいまのところ44社しかありません。

「PCI SSC」は、クレジット業界のセキュリティ標準化協議団体です。VISAやMasterCard、JCB、アメックスなど誰もが知る国際ブランドと呼ばれる企業が集まり、クレジットカードの標準化を行なうグローバルの協議会。世界的に信頼されているのは言わずもがなです。

そして、「P2PE」という認定は、クレジットカード決済におけるリアル店舗(EC取引ではなく)向けに規格化された暗号化技術を駆使したセキュリティソリューションで取得困難といわれている認定です。認定を受けるには300項目に及ぶ規定をすべてクリアする必要があるほど。

具体的に、わかりやすくいえば、加盟店と決済センター間で、クレジットカード情報を暗号化し、加盟店内にいっさい情報を残さない。つまり経済産業省が加盟店に対し、採るべき対策として示している “情報の非保持化”、個人情報の漏洩リスクを低減できるものなのです。

日本で“初”なのは、もちろんP2PEの認定取得に取り組んでいる企業が他にないからではありません。複数の大手ソリューション企業も2018年の取得に向けて技術開発中です。

では、なぜ、いま「P2PE」の取得に注目が集まるのか。そこには、日本のセキュリティ対策の、ゆゆしき背景がありました。

情報流出を軽く見てはいけない。会社生命を断ち切る危険性も

1da52dcc876189c468b056164b7b7a31152095e9

フィッシング、不正送金、ウィルス……この十数年のインターネットの爆発的普及に伴い、個人情報に対するセキュリティ対策は、技術的にも社会的な知識としても進化してきました。たぶん、どこで買い物をしてもクレジットカード情報の暗号化なんて、当然のことと思っている方も多いかもしれません。

高田「でも、店舗内でカード情報が暗号化されていないケースもまだまだあるんです。少し前まで明確なセキュリティ基準がなかったからなんですね」

しかし、2020年の東京オリンピック・パラリンピックを控え、国は対策に動きだします。2017年経済産業省は、2020年3月末と期限を切り、クレジットカード取引におけるセキュリティ対策の強化を大々的に打ち出しました。

高田「つまりセキュリティ対策の認定取得が必要になるんです。ただし、クレジットカード決済を使っている店舗のすべてが、セキュリティの専門家をたてるわけにもいかないので、経産省はちゃんと対策がとれる認定されたソリューションを選びなさい、となったんですね」

結果的に企業側の認定取得への動きも大きくなると考えられます。クレジットカード情報流出のニュースはありますが、その後についてあまり語られません。実は、その被害は個人のリスクはもとより、会社の行く末も大きく左右します。

たとえば、情報が流出したクレジットカードは再発行が必要です。これにかかるコストは、一件あたり数千円。数万件のデータが流出すれば、数千万円いえ億単位の賠償金に。これを情報漏洩した店舗もしくは会社が、クレジットカード会社へ支払うことになるのです。

高田 「もちろん風評被害でモノも売れなくなるだろうし、本当に情報漏えいは怖い。でも、現状の日本では、店舗のパソコンのなかにクレジットカード情報が残っている可能性がけっこうあるわけです。これは本当に怖いこと。そこに対して、私たちはより高次のセキュリティ対策ソリューションを提供していきたいと考えているんです」

その対策となる「P2PE」を活かしたネットムーブのカード決済ソリューションが「SaATポケレジ」です。

「P2PE」がグローバルの認定規格でもあることからわかるように、セキュリティに関してはやはり海外が進んでいます。ネットムーブは、「SaATポケレジ」のカードリーダー端末を生産するパートナー会社としてイギリスの企業を選びました。

必要であれば海外との取引も柔軟に。日本式で世界を相手にする

178417607b3e95bfa1bdf4e176db698bda5173ca

SaATポケレジ開発のスタートは2013年。まずは、端末メーカー探しからはじまりました。

高田「最初にしたのは、決済端末の標準化を作成している海外団体のサイトで、認定のとれた端末メーカーのチェックでした。ソリューションだけではクレジットカード会社への導入は難しい。信頼できる端末も一緒に提供できないと話すら聞いてもらえませんからね」

リストアップされたなかから数社を選び出すと、メーカーのサイトを入念にチェック、実績も調べたうえで、高田は直接企業に問い合わせます。海外団体サイトはもちろん英語ですが、問い合わせた端末メーカーもすべて海外企業。必要だと判断すれば、いきなり海外にパートナー企業を求めることは、ネットムーブにとっては自然な流れ。高田も、前職のエンジニア時代から海外とやりとりする経験はありました。

数社やりとりをするなかで、交渉先のひとつ、イギリスのミウラシステムズ社(以下、ミウラ)と、パリで年1回開かれる決済端末の見本市で商談をすることができました。

高田「ミウラは、ヨーロッパでは評判の端末メーカーでした。グローバルで活躍しているけれど、会社の規模はネットムーブと同じ30人程度。ミウラも日本市場への進出を検討中だったこともあり、パートナーとしてお互いに求めているものが合致したんです」

その年末、ミウラの幹部メンバーが来日した際には、社長の澤田がクレジットカード会社を彼らに紹介したことも、ネットムーブが信頼できる企業であるということを印象づけました。

国内にとどまらず常に“世界”という視点で開発も事業も判断していく。これはネットムーブの強みのひとつ。事業の広がりにもちろん影響しており、たとえば、ミウラからは逆にソフト開発の依頼を受けたことも。そして、若手にチャンスが多いのも、もうひとつの強み。高田は、若い開発者ふたりを開発チームにアサインし、イギリス出張にも同行させました。

垣根のない社風。「規模の小さい会社だからできる」ともいいます。「社長の澤田に直接聞いてOKがでれば、海外企業との仕事もすぐにスタートできます」

意気投合したミウラとネットムーブ。日本での、よりセキュアなカード決済ソリューション誕生の素地ができたのは、2013年、暮れも押し迫るころでした。

最新の技術や知見は、海外パートナー企業との協業から常に学ぶ

340234570a9169d878cef067d73abfd1dd56a73f

「国内初のスピードで認定がとれたのは、パートナー会社のおかげ」と高田はきっぱりいいます。

ひとつは、ミウラがすでに「P2PE」に準ずる規格を取得していたため、そのナレッジを共有してもらえたこと。これは偶然ではなく、技術力のある会社を最初から選んでいたから。この技術共有が開発のスピードをあげたのは確かです。

そして、もうひとつ。「認定がスムーズだったのも、海外での実績がある監査会社をミウラから紹介してもらえたから」と高田。

認定取得の申請書類はすべて英文。そこは監査会社に依頼する必要があります。ミウラは自社の依頼先、フォージェニックス社を紹介してくれました。実は、認定を受けているグローバル44社の約3割の申請を請け負っているのがフォージェニックス社です。

高田「監査会社は海外2社、日本2社を検討しましたが、フォージェニックス社はアドバイスも適切だったし、トントン拍子に進む。やはり実績のある会社は全然ちがうんです」

海外企業と仕事をするということは、英文の資料をそろえたり、英語での細かな意思疎通をしたりと、日本人同士でやるより、それはそれで大変。しかし、ことセキュアな決済という分野に関しては、技術そのものがグローバルで垣根がないからこそ、国境など関係ないのです。純粋にサービスの質を考えたとき、その解はないと高田はいいます。

2020年にむけて、日本のクレジットカード決済は、まだまだ成長がみこめる市場。国内の個人消費はいま300兆円といわれています。その内18%がクレジットカード決済。毎年10%伸長しているといわれ、まだまだ伸びしろはありますし、世界的な流れを受けてキャッシュレスはまだまだ進むでしょう。

高田「そのためにも、ぜひ国内からP2PE取得をする企業がもっと出てほしい。それが何よりの啓蒙になりますから」

ネットムーブはP2PEソリューション「SaATポケレジ」を活用し、クレジットカード加盟店のセキュリティ対策などの課題を解決。お客様のビジネスの成功の一助となれるよう、今日も励んでいます。

関連ストーリー

注目ストーリー